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Prefacio 


Es increible, y mas bien desconcertante, la cantidad de software que ejecutamos sin 
saber a ciencia cierta lo que hace. Compramos el software situados en las estanterias envueltos 
en plástico transparente. Ejecutamos utilidades de configuración que instalan numerosos 
archivos, cambian la configuración del sistema, borran o desactivan las versiones anteriores, y 
modifican archivos críticos del registro. Cada vez que accedemos a un sitio Web, se puede 
invocar o interactuar con docenas de programas y segmentos de código que son necesarios para 
conseguir el aspecto y el comportamiento deseado. Compramos CDs con cientos de juegos y 
utilidades o los descargamos como shareware. 


Descargamos actualizaciones e instalamos parches, confiando en que los vendedores 
están seguro de que los cambios son correctos y completos. Confiamos ciegamente que los 
ültimos cambios aplicados al programa mantiene la compatibilidad con todo el resto de los 
programas en nuestro sistema. En definitiva confiamos en software que no entendemos y no 
conocemos del todo bien. 


La realidad es que el Software de hoy en día se ha vuelto tan complejo e interconectado 
que el desarrollador a menudo no conoce todas las características y repercusiones de lo que ha 
sido creado en una aplicación. Con frecuencia es demasiado caro y consume mucho tiempo 
probar todas las rutas de control de un programa y todos los grupos de opciones de usuario. 


Bajo este escenario aparece la ingeniería inversa como un conjunto de técnicas y 
herramientas para la comprensión de lo que realmente representa el software. Esto nos permite 
visualizar la estructura del software, sus modos de funcionamiento y las características que 
impulsan su comportamiento. Las técnicas de análisis y la aplicación de herramientas 
automatizadas para examinar el software, nos dan una forma razonable de ver y comprender la 
complejidad del software y para descubrir su verdad. 
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Tanto la memoria de este trabajo como el software desarrollado se distribuyen bajo la licencia GNU GPL v3. 
La Licencia Pública General GNU (GNU GPL) es una licencia libre, sin derechos para software y otro tipo de trabajos. 


Las licencias para la mayoría del software y otros trabajos prácticos están destinadas a suprimir la libertad de compartir y modificar 
esos trabajos. Por el contrario, la Licencia 


Páblica General GNU persigue garantizar su libertad para compartir y modificar todas las versiones de un programa--y asegurar que 
permanecerá como software libre para todos sus usuarios. 


Cuando hablamos de software libre, nos referimos a libertad, no a precio. Las 


Licencias Püblicas Generales están destinadas a garantizar la libertad de distribuir copias de software libre (y cobrar por ello si 
quiere), a recibir el código fuente o poder conseguirlo si así lo desea, a modificar el software o usar parte del mismo en nuevos 
programas libres, y a saber que puede hacer estas cosas. 


Para obtener más información sobre las licencias y sus términos puede consultar: 
e http://www.gnu.org/licenses/gpl.html (Licencia original en inglés) 


e http://www. viti.es/gnu/licenses/gpl.html (Traducción de la licencia al castellano) 
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Capitulo 1 


LENGUAJE ENSAMBLADOR 








Se define como un lenguaje de programación que se usa para dar directamente órdenes al 
ordenador. A diferencia de otros lenguajes, que usan el sistema operativo como intermediario 
para ejecutar las tareas (le dicen al sistema operativo que haga una cosa y este es quien se 
encarga de hacérselo saber al ordenador), el lenguaje de ensamblador (en inglés assembly) no 
usa intermediarios, sino que directamente le da las órdenes a la máquina. 


Evidentemente este lenguaje tiene varias ventajas e inconvenientes. Entre las ventajas 
tenemos que por supuesto, es más rápido y eficiente, más estable y requiere menos recursos. 


Las desventajas son sin embargo mucho mayores: para empezar está limitado a las órdenes 
que el ordenador traiga memorizadas en su placa base, nada más. Y requiere unos 
conocimientos técnicos muy avanzados, toda vez que cada CPU incluye órdenes distintas e 
incluso formas distintas de darle esas órdenes, variando segün el modelo, el fabricante... etc... Es 
por ello, entre otras cosas, que no se ha impuesto en el mercado como lenguaje de programación 
para aplicaciones o juegos. 


Como se ve es un lenguaje de programación orientado a profesionales que trabajan con 
hardware, muy ütil sobre todo para detectar fallos e incompatibilidades entre piezas del PC o 
chequear el estado de estas. 


Como ya dijimos el lenguaje ensamblador debe ser traducido a código máquina para 
funcionar, y por tanto requiere un ensamblador que lo traduzca a código binario (a ceros y 
unos). Pero es el lenguaje más cercano al propio código que usan los ordenadores. Es por ello 
que se dice que es un lenguaje de bajo nivel, debido a que está sólo un escalón por encima del 
código máquina, y solo permite ejecutar instrucciones sencillas. Los lenguajes de alto nivel son 
más elaborados y permiten realizar tareas mültiples y complejas con una sola orden, mientras 
que en el que nos ocupa una orden equivale a una instrucción directa. 


Existen como hemos visto muchas variantes del lenguaje ensamblador, de hecho una 
por cada tipo de arquitectura del CPU. Las primeras CPUs apenas tenían instrucciones y por 
tanto eran mucho más sencillas. En la actualidad están en boga los llamados ensambladores de 


alto nivel, que permiten instrucciones más complejas e incluso cadenas de instrucciones 
(macros). 
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Capitulo 2 


ARQUITECTURA X86 





Las arquitecturas de las computadoras mas modernas siguen, hasta hoy en dia, la 
arquitectura de Von Neumann, cuentan con tres componentes principales, que a pesar del paso 
de los afios no han cambiado: 


> CPU: Es la unidad central de procesamiento, se encarga de ejecutar el código del 
programa o Sistema Operativo. 


» Memoria Principal (RAM): Almacena los datos y el código que se cargarán en la CPU 
para su ejecución. 


» Sistema de Entrada y Salida: Es la interfaz con los dispositivos como discos rígidos, 
teclados, monitores y demás. 


La figura siguiente muestra una presentación gráfica de la estructura de la memoria: 
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A modo general, dentro de la estructura de esta arquitectura, la CPU contiene ciertos 
componentes para realizar tareas especificas. La unidad de control recibe desde la memoria 
RAM las instrucciones que debe ejecutar a través de un registro en particular, el Instruction 
Pointer (IP), que apunta a la próxima instrucción a ejecutar. Los registros, son utilizados por la 
CPU para almacenar datos, valores o direcciones de memoria que acortan el tiempo que tardaría 
la CPU en ir a buscarlos directamente a la RAM. Existen registros que cumplen funciones 
específicas y otros de uso general. 


Una vez que se cuentan con las instrucciones la ALU (Aritmetic Logic Unit) es la 
encargada de ejecutarlas y almacenar el resultado directamente en la memoria RAM o en los 
registros. Este proceso de búsqueda y ejecución de una instrucción tras otras se repite a medida 
que se ejecuta un programa. 


La memoria de un programa se puede dividir en 4 secciones principales: 


Memoria principal 
"M 
"s 
Di 
| 


Data 
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> Data: La sección de datos de un programa hace referencia a una región específica de 
memoria. Contiene lo que se conoce como las variables estaticas que no cambian con la 
ejecución del programa. También en esta sección se encuentran las variables globales, 
que están disponibles desde cualquier parte del programa. 

> Code: En esta región de memoria se almacena el código que se ejecuta del programa 
donde se alojan todas las instrucciones que se van a ejecutar. 

» Heap: El heap es una región de memoria que se utiliza para asignar nuevos valores 
durante la ejecución del programa así como para eliminarlos una vez que se dejaron de 
utilizar. El heap es una memoria dinámica y su contenido varía a medida que se ejecuta 
el programa 

» Stack (Pila): La pila se utiliza para alojar las variables locales, parámetros y valores de 
retorno de una función como así también contiene las direcciones de retorno entre una 
llamada a una función y otra, siendo muy ütil para controlar el flujo de ejecución del 
programa. 


Algo importante a tener en cuenta es que estas regiones de memoria no se encuentran en 
zonas contiguas de memoria y que su ubicación puede cambiar, estando en regiones más bajas o 
altas de memoria. 


2.1 La Pila 


La pila es un lugar de la memoria donde se van guardando determinados valores para 
recuperarlos posteriormente. Por esta razón, cuando se introduce un nuevo valor no se hace en 
el lugar ocupado por el valor introducido anteriormente, sino que se pone justo en la posición o 
posiciones inmediatamente anteriores a la ocupada por ese valor previo. 


La pila sigue la norma LIFO (last in, first out) y funciona como una pila de platos. Si 
colocamos uno a uno cinco platos sobre una pila, y luego los vamos cogiendo, tomaremos en 
primer lugar el último que hayamos puesto, luego el penúltimo etc., hasta llegar al que hayamos 
puesto en primer lugar, que será el áltimo que cogeremos. La dirección para acceder al plato 
superior de la pila, es decir al valor en que podemos acceder en cada momento, está contenida 
en un registro (ESP) que va variando segün se van anadiendo o retirando valores. 


Hay diferentes maneras de modificar el estado de la pila: directamente, mediante las 
instrucciones que se emplean para poner o quitar valores, o mediante instrucciones que tienen el 
efecto de modificarla, como la instrucción call (llamada a subrutina) que tiene como efecto 
secundario el guardar en la pila la dirección a la que ha de volver el programa cuando, una vez 
terminada la ejecución de la subrutina, se encuentra con la instrucción ret, la cual retira la 
dirección introducida de la pila, dejándola como estaba antes de la ejecución de la subrutina. 


La finalidad principal de la pila es liberar registros de forma temporal para que puedan 
realizar otras funciones para luego, una vez terminadas las mismas, reintegrarles su valor 
primitivo. Otra utilidad puede ser la que a veces emplean programadores temerosos de que los 
chicos malos puedan robarles sus tesoros, y es la de saltar de un punto a otro durante la 
ejecución de un programa sin que esto quede reflejado en el desensamblado de dicho programa. 
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2.2 Los Registros 


Los registros son elementos de almacenamiento de datos contenidos en el procesador y 
que tienen la ventaja de la rapidez de acceso y la finalidad de contener datos necesarios para la 
ejecución del programa. En principio, casi todos ellos pueden utilizarse libremente, pero cada 
uno de ellos tiene sus funciones específicas. Existen distintos tipos de registro: 


2.2.1. Generales 


El registro EAX (Acumulador) además de su empleo como registro para uso general, es 
utilizado en algunas instrucciones como las de multiplicar y dividir, que como se verá más 
adelante lo utilizan como factor y como resultado. También se utiliza para contener el valor de 
retorno después de la ejecución de una API, por ejemplo, al regreso de Istrlen, EAX contiene la 
longitud de la cadena de texto examinada, y al regreso de RegQueryValueExA, EAX estará 
puesto a cero si el registro se ha leído correctamente. 


El registro EBX (Base) además de su uso general, suele utilizarse para direccionar el 
acceso a datos situados en la memoria. 


El registro ECX (Contador) además de su uso general, se utiliza como contador en 
determinadas instrucciones. 


El registro EDX (Datos) además de su uso general, se utiliza junto con EAX para 
formar numeros mayores de 32 bits en algunas instrucciones, como las de multiplicar y dividir. 
También se utiliza en operaciones de Entrada/Salida. 

Todos estos registros son de 32 bits, aunque se puede operar con subdivisiones de ellos. 
Así por ejemplo, los 16 bits de menor valor del registro EAX, se pueden manejar como AX, y 
este AX, a su vez, se divide en AH (bits 5? a 8? contados a partir de la derecha) y AL (bits 1? a 
4°). 

2.2.2. De base 


El registro EBX se utiliza como registro de uso general. 


El registro EBP se utiliza para direccionar el acceso a datos situados dentro del espacio 
ocupado por la pila. 


El registro EBP también es de 32 bits y se puede utilizar para uso general. Puede operar 
con los 16 bits inferiores: BP. 


2.2.3. De índice 


Los registros ESI y EDI se utilizan en instrucciones que acceden a grupos de posiciones 
contiguas de la memoria que funcionan como origen y destino. El registro ESI apunta a la 
dirección del primer (o ültimo, como veremos al tratar el flag D) byte del origen y el EDI al 
primero (o ültimo) del destino. 


Como los anteriores, estos registros son de 32 bits y se pueden utilizar para uso general. 
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Puede operarse con los 16 bits inferiores de cada uno: SI y DI. 


2.2.4. De puntero 

El registro ESP apunta a la dirección del ultimo valor introducido en la pila (o sea, el 
primero que podemos sacar) y aunque puede ser modificado mediante las instrucciones del 
programa (por ejemplo: sumándole o restándole un determinado valor), es más corriente que se 


modifique automáticamente segün las entradas y salidas de valores en la pila. 


El registro EIP apunta a la dirección del código de la instrucción a ejecutarse y se va 
modificando segün se va ejecutando el código del programa. 


Estos registros también son de 32 bits, pero tanto ESP como EIP no se pueden utilizar 
para otros usos que los previstos. 


2.2.5. De segmento 
El registro CS contiene el segmento que corresponde a la dirección del código de las 
instrucciones que forman el programa. Así la dirección de la siguiente instrucción a ejecutarse 


de un programa vendría determinada por los registros CS:EIP 


Los registros DS y ES se utilizan en instrucciones que tienen origen (DS:ESI) y destino 
(ES:EDI). 


El registro SS es el que contiene el segmento que corresponde a la dirección de la pila. 


Así la dirección del valor que se puede extraer de la pila en un momento dado, estaría indicada 
por SS:ESP. 


Los registros FS y GS son de uso general. 


Estos registros son de 16 bits y no se pueden utilizar para otros usos que los previstos. 


2.2.6. Flags 


Están situados en un registro (EFLAGS) de 32 bits de los cuales se utilizan 18, y de 
estos vamos a ver sólo 8. 


O (Overflow o desbordamiento) 


Este flag se pone a uno, cuando se efectúa una operación cuyo resultado, debido a 
operar con nümeros en complemento a dos, cambia de signo, dando un resultado incorrecto. 


D (Dirección) 


Si está a cero, las instrucciones que utilizan los registros ESI y EDI por operar con una 
serie de bytes consecutivos, los tomarán en el orden normal, del primero al ültimo; en caso 
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contrario, los tomaran del ultimo al primero. Por lo tanto este flag no varia de acuerdo a los 
resultados de determinadas operaciones, sino que se le pone el valor adecuado a voluntad del 
programador, mediante las instrucciones std y cld que se verán más adelante. 

I (Interrupción) 

Cuando se pone a uno, el procesador ignora las peticiones de interrupción que puedan 
llegar de los periféricos. La finalidad de esto es la de evitar que durante la ejecución de algün 
proceso más o menos crítico, una interrupción pudiera provocar la inestabilidad del sistema. 

S (Signo) 

Se pone a uno, cuando se efectáa una operación cuyo resultado es negativo. 

Z (Cero) 

Se pone a uno, cuando se efectáa una operación cuyo resultado es cero. 


A (Auxiliar) 


Este flag es similar al de carry que veremos enseguida, pero responde a las operaciones 
efectuadas con numeros en formato BCD. 


P (Paridad) 


Se pone a uno, cuando se efectúa una operación cuyo resultado contiene un número par 
de bits con el valor 1. 


C (Carry o acarreo) 


Se pone a uno, cuando se efectúa una operación que no cabe en el espacio 
correspondiente al resultado. 
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2.3 Las Instrucciones 


Es el momento de empezar a explicar con cierto detenimiento las instrucciones de los 
procesadores 80X86. 


Antes de hablar de las instrucciones, se explicara los distintos sistemas que tienen las 
instrucciones para acceder a los datos necesarios para su ejecución. 


2.3.1. Modos de direccionamiento 


La terminología que se emplea aquí no es standard, por lo que puede ser que algunos 
términos no sean los mismos que los empleados en otros lugares. 


Directo El dato se refiere a una posición de la memoria, cuya dirección se escribe entre 
corchetes. 


mov dword ptr [00513450], -ECX 
Mov. dox, word pEr [OUSLOAZ 5) 


mov al, byte ptr [00402811] 


En el primer ejemplo, se copia el contenido del registro ECX, no en la dirección 
513450, sino en la dirección que hay guardada en la posición 513450 de la memoria. 


Cabe mencionar aquí el tratamiento de los typecasts, es decir, de la especificación del 
tamafio del dato que se obtiene de la dirección de memoria indicada entre corchetes. En este 
ejemplo no es necesaria esta especificación, ya que la longitud del dato viene dada por el tipo de 
registro. En otros casos puede existir una ambigüedad que haga necesaria esta información. Por 
ejemplo, si tratamos de ensamblar la instrucción mov [edx], 00000000 el compilador nos dará 
error porque no se ha indicado el tamafio del valor a introducir en EDX (aunque se hayan puesto 
ocho ceros), por lo que se deberá especificar: mov dword ptr [edx], O lo que generaría una 
instrucción que pondrá cuatro bytes a cero a partir de la dirección indicada por el registro EDX. 


Indirecto Aquí el dato también se refiere a una posición de la memoria, pero en vez de 
indicar la dirección como en el caso anterior, se indica mediante un registro que 
contiene dicha dirección. 


mov eax, 00513450 


mov dword ptr [eax], ecx 
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En este ejemplo, el resultado es el mismo que en el primer ejemplo del modo directo. 


Registro 


Inmediato 


De base 


De indice 


Los parámetros de la instrucción están contenidos en registros. 
inc eax 
push ebx 


xchg eax, ebx 


Se le asigna un valor numérico a un operando de la instrucción: 
cmp eax, 00000005 


mov cl, FF 


Este direccionamiento emplea exclusivamente los registros EBX y EBP, que 
sumados a un valor numérico, nos dan la posición de memoria origen o destino 
del dato que maneja la instrucción. 


cmp ebx, dword ptr [ebp+02] 


mov edx, dword ptr [ebx+08] 


Similar al anterior, pero empleando los registros de indice: ESI y EDI. 
mov cl, byte ptr [esi+01] 


cmp cl, byte ptr [edi+01] 


2.3.2. La reina de las instrucciones 


Las instrucciones se representan de dos maneras: mediante el opcode o código de 
operación y el nombre o mnemónico. El código de operación es un grupo de cifras más o menos 
largo, segün la instrucción, que en principio está pensado para uso del ordenador. El mnemónico 
es el nombre de la instrucción, que trata de representar una descripción del significado de la 
misma. Para apreciar mejor esto, junto al mnemónico de la instrucción se va a poner el nombre 


en inglés. 
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A partir de ahora, en los ejemplos, se pondrán los códigos de operación de las 
instrucciones (simplemente a título orientativo) y sólo cuando sea conveniente (en el caso de 
saltos), la dirección en que están situadas. 


nop (No Operation) 


Esta instrucción es de gran utilidad: no hace nada. Su verdadera utilidad reside en 
rellenar los huecos provocados por la eliminación de instrucciones o su substitución por 
instrucciones de menor longitud. Su nombre da origen al verbo "nopear" que tan a menudo 
utilizan los chicos malos. Hay corrientes filosóficas dentro del cracking que sostienen que poner 
nops es poco elegante y por ello substituyen por ejemplo, una instrucción de salto condicional 


de dos bytes como: 
:0040283E 7501 jne 00402841 
:00402840 C3 ret 


:00402841 31C0 xor eax, eax 


por: 

:0040283E 40 inc eax 
:0040283F 48 dec eax 
:00402840 C3 ret 


:00402841 31C0 xor eax, eax 


en lugar de: 

:0040283E 90 nop 
:0040283F 90 nop 
:00402840 C3 ret 


:00402841 31C0 xor eax, eax 


Otro forma mas elegante de solucionarlo es cambiando un solo byte, consiguiendo de 
esta forma que tanto si se efectúa el salto como si no, se vaya a la instrucción siguiente. 


:0040283E 7500 jne 00402840 


http://masteracsi.ual.es/ 


:00402840 C3 ret 


:00402841 31C0 xor eax, eax 


Cabe mencionar que el opcode que corresponde a dicha instrucción (90) es en realidad 
el correspondiente a la instrucción xchg eax,eax, y por lo tanto la instrucción nop no existe, sino 
que se trata sólo de una una interpretación convencional. Otra cosa curiosa es que el opcode 
6690 que corresponde a la instrucción xchg ax,ax, se desensambla también como nop. 


2.3.3. Instrucciones de la pila 
En la descripción de la pila, se ha visto que hay instrucciones que se utilizan para poner 


y quitar valores de ella, cambiando su dirección de inicio contenida en el registro ESP, de 
manera que siempre apunte al último valor introducido. 


push (Push Word or Doubleword Onto the Stack) 


Esta instrucción resta del registro ESP, la longitud de su unico operando que puede ser 
de tipo word o doubleword (4 u 8 bytes), y a continuación lo coloca en la pila. 


pop (Pop a Value from the Stack) 


Es la inversa de la anterior, es decir que incrementa el registro ESP y retira el valor 
disponible de la pila y lo coloca donde indica el operando. 


pushad /pusha (Push All General-Purpose Registers 32 / 16 bits) 

Estas instrucciones guardan el contenido de los registros en la pila en un orden 
determinado. Así pues, pushad equivale a: push EAX, ECX, EDX, EBX, ESP, EBP, ESI, EDI y 
pusha equivale a: push AX, CX, DX, BX, SP, BP, SI, DI. 
popad / popa (Pop All General-Purpose Registers 32 / 16 bits) 

Estas instrucciones efectúan la función inversa de las anteriores, es decir, restituyen a 
los registros los valores recuperados de la pila en el orden inverso al que se guardaron. Así 
popad equivale a: pop EDI, ESI, EBP, ESP, EBX, EDX, ECX, EAX y popa equivale a: pop DI, 
SI, BP, SP, BX, DX, CX, AX (los valores recuperados correspondientes a ESP y SP, no se 
colocan en los registros sino que se descartan). 
pushfd /pushf (Push EFLAGS Register onto the Stack 32 / 16 bits) 
popfd / popf (Pop Stack into EFLAGS Register 32 / 16 bits) 


Estas parejas de instrucciones colocan y retiran de la pila el registro de flags. 
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2.3.4. Instrucciones de transferencia de datos 
mov (Move) 


Esta instrucción tiene dos operandos. Copia el contenido del operando de origen 
(representado en segundo lugar) en el de destino (en primer lugar), y segün el tipo de estos 
operandos adopta formatos distintos. He aquí unos ejemplos: 


6689C8 mov ax, cx 

SBC3 mov eax, ebx 

SB5BDC mov ebx, dword ptr [ebx-24] 
893438 mov dword ptr [eax+edi], esi 


movsx (Move with Sign-Extension) 


Copia el contenido del segundo operando, que puede ser un registro o una posición de 
memoria, en el primero (de doble longitud que el segundo), rellenándose los bits sobrantes por 
la izquierda con el valor del bit mas significativo del segundo operando. Aqui tenemos un par de 
ejemplos: 


33C0 xor eax, eax 

BB78563412 mov ebx, 12345678 

OFBFC3 movsx eax, bx EAX=00005678 
33C0 xor eax, eax 

BBCDAB3412 mov ebx, 1234ABCD 

OFBFC3 movsx eax, bx EAX-FFFFABCD 


Vemos como en el primer ejemplo los espacios vacíos se rellenan con ceros y en el 
segundo con unos. 


movzx (Move with Zero-Extend) 


Igual que movsx, pero en este caso, los espacios sobrantes se rellenan siempre con 
ceros. Veamos como el segundo ejemplo de la instrucción anterior da un resultado distinto: 
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33C0 xor eax, eax 
BBCDAB3412 mov ebx, 1234ABCD 


OFB7C3 movzx eax, bx EAX=0000ABCD 


lea (Load Effective Address) 


Similar a la instrucción mov, pero el primer operando es un registro de uso general y el 
segundo una dirección de memoria. Esta instrucción es útil sobre todo cuando esta dirección de 
memoria responde a un cálculo previo. 


8D4638 lea eax, dword ptr [esit+38] 


xchg (Exchange Register/Memory with Register) 


Esta instrucción intercambia los contenidos de los dos operandos. 


87CA xchg edx, ecx 
870538305 100 xchg dword ptr [00513038], eax 
8710 xchg dword ptr [eax], edx 


En el primer ejemplo, el contenido del registro ECX, se copia en el registro EDX, y el 
contenido anterior de EDX, se copia en ECX. Se obtendria el mismo resultado con: 


51 push ecx 
22 push edx 
59 pop ecx 
5A pop edx 


La instrucción pop ecx toma el valor que hay en la pila y lo coloca en el registro ECX, 
pero como podemos ver por la instrucción anterior push edx, este valor, procedía del registro 
EDX. Luego se coloca en EDX el valor procedente de ECX. 


bswap (Byte Swap) 


Esta instrucción se emplea exclusivamente con registros de 32 bits como único 
parámetro. Intercambia los bits O a 7 con los bits 24 a 31, y los bits 16 a 23 con los bit 8 a 15. 


B8CD34AB12 mov eax, I2AB34CD EAX=12AB34CD 


OFC8 bswap eax EAX=CD34AB 12 
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2.3.5. Instrucciones aritméticas 
inc (Increment by 1) / dec (Decrement by 1) 


Estas dos instrucciones incrementan y decrementan respectivamente el valor indicado 
en su ünico operando. 


FF0524345100 inc dword ptr [00513424] 
FFOD24345 100 dec dword ptr [00513424] 
40 inc eax 
4B dec ebx 


En los dos primeros ejemplos, se incrementaria y decrementaria el valor contenido en 
los cuatro bytes situados a partir de la dirección 513424. 


add (Add) 


Esta instrucción suma los contenidos de sus dos operandos y coloca el resultado en el 
operando representado en primer lugar. 


02C1 add al, cl AL + CL -> AL 
01C2 add edx, eax EDX + EAX -> EDX 
8345E408 add dword ptr [ebp-1C], 0000008 dword ptr [EBP-1C]+ 8 -> [EBP-1C] 


En el tercer ejemplo, como el resultado se coloca siempre en el primer operando, no 
sería aceptada por el compilador una instrucción como add 00000008, dword ptr [ebp-1C] 


adc (Add with Carry) 

Esta instrucción es similar a la anterior, con la diferencia de que se suma también el 
valor del flag de acarreo. Se utiliza para sumar valores mayores de 32 bits. Supongamos que 
queremos sumar al contenido de los registros EDX:EAX  (EDX=0000002lh y 
EAX=87AE43F5), un valor de más de 32 bits (3ED671A23). Veamos cómo se hace: 
add eax, ED671A23 EAX=75155E18 (87 AE43F5+ED671A23) CF=1 
adc edx, 0000003 EDX=25h (21h+3+1) 


sub (Subtract) 


Esta instrucción resta el contenido del segundo operando del primero, colocando el 
resultado en el primer operando. 


83EA16 sub edx, 00000016 EDX - 16 -> EDX 
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29C8 sub eax, ecx EAX - ECX -> EAX 
2B2B sub ebp, dword ptr [ebx] EBP - dword ptr [EBX] -> EBP 
sbb (Integer Subtraction with Borrow) 


Esta instrucción es una resta en la que se tiene en cuenta el valor del flag de acarreo. 
Supongamos que del contenido de los registros EDX:EAX después del ejecutado el ejemplo de 
la instrucción adc (EDX=00000025h y EAX=75155E18), queremos restar el valor 3ED671A23. 
El resultado es el valor que tenían inicialmente los dos registros en el ejemplo citado: 


sub eax, ED671A23 EAX=87AE43F5 (75 155E18-ED671A23) CF=1 
sbb edx, 0000003 EDX=21h (25h-3-1) 
mul (Unsigned Multiply) / imul (Signed Multiply) 


Estas dos instrucciones se utilizan para multiplicar dos valores. La diferencia más 
importante entre las dos, es que en la primera no se tiene en cuenta el signo de los factores, 
mientras que en la segunda sí. Como veremos en algunos ejemplos, esta diferencia se refleja en 
los valores de los flags. 


En la instrucción mul, hay un solo operando. Si es un valor de tamaño byte, se 
multiplica este valor por el contenido de AL y el resultado se guarda en EAX, si el valor es de 
tamafio word (2 bytes), se multiplica por AX, y el resultado se guarda en EAX y finalmente, si 
el valor es de tamaño dword (4bytes), se multiplica por EAX y el resultado se guarda en 
EDX:EAX. De esta forma el espacio destinado al resultado siempre es de tamano doble al de los 
operandos. 


F7EI mul ecx EAX*ECX -> EDX:EAX 

F72424 mul dword ptr [esp] EAX*[ESP] -> EDX:EAX 

En la instrucción imul, hay también una mayor variedad en el origen de sus factores. 
Además de la utilización de los registros EAX y EDX, así como de sus subdivisiones, pueden 
especificarse otros orígenes y destinos de datos y puede haber hasta tres operandos. El primero, 
es el lugar donde se va a guardar el resultado, que debe ser siempre un registro, el segundo y el 
tercero son los dos valores a multiplicar. En estos ejemplos vemos como estas instrucciones con 
dos o tres operandos, tienen el mismo espacio para el resultado que para cada uno de los 
factores: 
F7EB imul ebx EAX x EBX -» EDX:EAX 
696E74020080FF imul ebp, dword ptr [esi+74], FF800002 [ESI+74] x FF800002 -> EBP 


OFAFS5ES imul edx, dword ptr [ebp-18] EDX x [EBP-18] -> EDX 


Veamos finalmente la diferencia entre la multiplicación con signo y sin él: 
66B8FFFF mov ax, FFFF AX-FFFF 
66BBFFFF mov bx, FFFF 


66F7E3 mul bx AX=0001 OF=1 CF-I 
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66BSFFFF mov ax, FFFF 
66F7EB imul bx AX=0001 OF-0 CF=0 


En la primera operación, como se consideran los numeros sin signo, se ha multiplicado 
65535d por 65535d y el resultado ha sido 1. Debido a este resultado "anómalo", se han activado 
los flags OF y CF. En cambio, en la segunda operación, en la que se toma en cuenta el signo, se 
ha multiplicado -1 por -1 y el resultado ha sido 1. En este caso no se ha activado ningün flag. 
Otro ejemplo: 


BSFFFFFF7F mov eax, 7FFFFFFF 
BB02000000 mov ebx, 00000002 
F7E3 mul ebx EAX-FFFFFFFE OF=0 CF=0 
BSFFFFFF7F mov eax, 7FFFFFFF 
F7EB imul ebx EAX=FFFFFFFE OF=1 CF=1 

Esta vez, en el primer caso, el resultado ha sido correcto, porque 2147483647d 
multiplicado por dos ha dado 4294967294d, por tanto, no se ha activado ningún flag. Pero en el 
segundo caso, teniendo en cuenta el signo, hemos multiplicado 2147483647d por dos y nos ha 
dado como resultado -2. Ahora si se han activado los flags. 

div (Unsigned Divide) / idiv (Signed Divide) 

El caso de la división es muy parecido al de la multiplicación. Hay dos instrucciones: 
div para números en los que no se considere el signo e idiv para números que se consideren con 


signo. El dividendo está formado por una pareja de registros y el divisor es el único operando. 
He aquí varios ejemplos de una y otra instrucción: 


66F7F3 div bx DX:AX : BX -> AX resto -> DX 
F7F3 div ebx EDX:EAX : EBX -> EAX resto -> EDX 
F77308 div dword ptr [ebx+08] EDX:EAX : [EBX+8] -> EAX resto -> EDX 
F7F9 idiv ecx EDX:EAX : ECX -> EAX resto -> EDX 


Ahora, como hemos hecho con la multiplicación, vamos a ver el diferente resultado que 
se obtiene empleando una u otra instrucción: 


33D2 xor edx, edx 

66B80100 mov ax, 0001 

66BBFFFF mov bx, FFFF 

66F7F3 div bx AX=0000 DX=0001 
33D2 xor edx, edx 


66B80100 mov ax, 0001 
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66F7FB idiv bx AX-FFFF DX=0000 


En el primer caso, al no considerar el signo de los nümeros, se ha dividido 1 por 65535, 
que ha dado un cociente de O y un resto de 1. En el segundo caso, se ha dividido -1 por 1, lo que 
ha dado un cociente de -1 y un resto de 0. No ha habido overflow ni acarreo en ninguno de los 
dos casos. 


xadd (Exchange and Add) 


Intercambia los valores de los dos operandos y los suma, colocando el resultado en el 
primer operando. El primer operando puede ser un registro o una posición de memoria, pero el 
segundo sólo puede ser un registro. 


C703CDAB3412 mov dword ptr [ebx], 1234A BCD 


En la dirección indicada por EBX tendremos el valor CD AB 34 12. 


Vemos el valor que hemos puesto en la memoria invertido, porque el paso del valor de 
un registro a la memoria y viceversa se hace empezando por el áltimo byte y terminando por el 
primero. 


B8CD34AB12 mov eax, 12AB34CD 
B934120000 mov ecx, 00001234 
OFC1ICS xadd eax, ecx 


EAX contiene el valor 12AB4701 (12AB34CD+1234) y ECX el valor 12AB34CD. 
B934120000 mov ecx, 00001234 
OFCIOB xadd dword ptr [ebx], ecx 


La dirección indicada por EBX contiene el valor 01 BE 34 12 (1234ABCD-4 1234) y el 
registro ECX el valor 1234ABCD. 


aaa (Ascii Adjust for Addition) / daa (Decimal Adjust AL after Addition) 


Antes hemos mencionado el formato BCD, ahora vamos a operar con él. Mediante la 
primera de estas dos instrucciones, se ajusta el resultado de una suma de nümeros en formato 
BCD desempaquetado, contenido en AL. La segunda instrucción hace lo mismo pero con 
formato BCD empaquetado. Vamos a ver un par de ejemplos: 


33C0 xor eax, eax 
33DB xor ebx, ebx 
B007 mov al, 07 
B309 mov bl, 09 
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02C3 add al, bl AL=10 10h=7+9 


37 aaa AX=0106 16d(7+9)en BCD desempaq.) 

33C0 xor eax, eax 

B065 mov al, 65 

B328 mov bl, 28 

02C3 add al, bl AL-8D (8Dh=65h+28h) 

27 daa AL=93 93d(65d+28d)en BCD empaquetado.) 


Podemos ampliar un poco las posibilidades de daa aprovechando el flag de acarreo: 


B065 mov al, 65 

B398 mov bl, 98 

02C3 add al, bl AL-FD (FDh=65h+98h) 

24 daa AL=63 CF=1 

80D400 adc ah, 00 AX=0163 163d(65d+98d)en BCD empaquetado.) 


aas (ASCII Adjust AL After Subtraction) / das (Decimal Adjust AL after Subtraction) 
Estas instrucciones hacen lo mismo, pero después de una resta. 
aam (Ascii Adjust AX After Multiply) 


Esta instrucción ajusta el resultado de una multiplicación entre dos numeros de una cifra 
en formato BCD desempaquetado. Sin embargo, tiene una interesante posibilidad: la de poder 
trabajar en la base que se defina modificando MANUALMENTE (resulta que no hay un 
mnemónico para eso) el segundo byte del código que normalmente tiene el valor OAh (10d). 
Veamos unos ejemplos: 


33C0 xor eax, eax 

33DB xor ebx, ebx 

B009 mov al, 09 

B305 mov bl, 05 

F6E3 mul bl AL-2D 


http://masteracsi.ual.es/ 


D40A 


33C0 


B009 


B305 


F6E3 


D408 


aam AX=0405 45d(9x5)en BCD desempaq.) 


xor eax, eax 


mov al, 09 

mov bl, 05 

mul bl AL=2D 

aam (base8) AX=0505 55q-45d(9x5)en BCD desempaq.) 


aad (Ascii Adjust AX Before Division) 


Igual, pero con la división. La diferencia está en que se ejecuta la instrucción antes de 


dividir. 


33C0 


33DB 


66B80307 


D50A 


B308 


F6F3 


33C0 


33DB 


66B80307 


D508 


B308 


F6F3 


xor eax, eax 


xor ebx, ebx 


mov ax, 0703 

aad EAX=0049 49h=73d 

mov bl, 08 

div bl EAX=0109 73d/8=9 (AL) resto=1 (AH) 


xor eax, eax 


xor ebx, ebx 


mov ax, 0703 

aad (base=8) EAX=003B 3Bh=73q 

mov bl, 08 

div bl AL=0307 73q/8=7 (AL) resto=3 (AH) 


La única utilidad de estas instrucciones, es la de pasar un número en base hexadecimal a 


otra base. 


neg (Two's Complement Negation) 


Esta instrucción tiene la finalidad de cambiar de signo el número representado por su 
único operando, mediante una operación de complemento a dos. 


B81C325100 


mov eax, 0051321C 
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F7D8 neg eax EAX=FFAECDE4 


neg 0000 0000 0101 0001 0011 0010 0001 1100 = 0051321C 
1111 1111 1010 1110 1100 1101 1110 0011 
+ 1 


1111 1111 1010 1110 1100 1101 1110 0100 = FFAECDEA 


2.3.6. Instrucciones lógicas 

and (Logical AND) 

Efectáa una operación AND entre cada uno de los bits de los dos operandos. 
B8DAC70704 mov eax, 0407C7DA 


25C30E6F00 and eax, 006FÜEC3 EAX=000706C2 


0407C7DA = 0000 0100 0000 0111 1100 0111 1101 1010 
OO6FOEC3 = 0000 0000 0110 1111 0000 1110 1100 0011 


and 0000 0000 0000 0111 0000 0110 1100 0010 = 000706C2 


25FF000000 ` and eax, 000000FF EAX-000000C2 


000706C2 = . 0000 0000 0000 0111 0000 0110 1100 0010 
000000FF = . 0000 0000 0000 0000 0000 0000 1111 1111 


and0000 0000 0000 0000 0000 0000 1100 0010 = 000000C2 


Hacer un AND de cualquier byte con FF lo deja como estaba. Por esta razón, se utilizan 
frecuentemente instrucciones de este tipo para eliminar bytes que no se van a utilizar de un 
registro. 

or (Logical Inclusive OR) 


Efectáa una operación OR entre cada uno de los bits de los dos operandos. 


BSDAC70704 mov eax, 0407C7DA 
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ODC30E6F00 or eax, 006FO0EC3 EAX=046FCFDB 


0407C7DA = 0000 0100 0000 0111 1100 0111 1101 1010 
O06FOEC3 = 0000 0000 0110 1111 0000 1110 1100 0011 


Or 0000 0100 0110 1111 1100 1111 1101 1010 = 046FCFDB 


xor (Logical Exclusive OR) 
Efectáa una operación XOR entre cada uno de los bits de los dos operandos. 
B8DAC70704 mov eax, 0407C7DA 


35C30E6F00 xor eax, OOGFOEC3 EAX=0468C919 


0407C7DA = 0000 0100 0000 0111 1100 0111 1101 1010 
OO6FOEC3 = 0000 0000 0110 1111 0000 1110 1100 0011 


xor | 0000 0100 0110 1000 1100 1001 0001 1001 = 0468C919 


not (One's Complement Negation) 
Efectúa una operación NOT con cada uno de los bits del único operando. 
B8DAC70704 mov eax, 0407C7DA 


F7DO not eax EAX- FBF83825 


0407C7DA = 0000 0100 0000 0111 1100 0111 1101 1010 


not 1111 1011 1111 1000 0011 1000 0010 0101 = FBF83825 


2.3.7. Instrucciones de comprobación y verificación 
cmp (Compare Two Operands) 


La comparación entre dos valores es en realidad una resta entre ambos. Segün cual sea 
el resultado, podemos saber si los valores son iguales y en caso contrario, cuál de ellos es el 
mayor. Así, se podría utilizar la instrucción sub ecx, ebx para comparar el resultado de estos dos 
registros, sin embargo el hacerlo así tiene el problema de que el resultado de la resta se colocaría 
en el registro ECX, cuyo valor anterior desaparecería. Para evitar este problema el programador 
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dispone de la instrucción cmp. 


Esta instrucción resta el segundo operando del primero. El resultado no se guarda en 
ningün sitio, pero segün cual sea este resultado, pueden modificarse los valores de los flags CF, 
OF, SF, ZF, AF y PF. Es en base al estado de estos flags, que se efectáa o no el salto 
condicional que suele acompañar a esta instrucción. Veremos esta instrucción en los ejemplos 
de saltos condicionales. 


cmpxchg (Compare and Exchange) 


Esta instrucción compara el valor de AL, AX o EAX (según el tamaño de los 
operandos) con el primer operando. Si son iguales, se pone a uno el flag de cero y el segundo 
operando se copia en el primero; en caso contrario, se pone a cero el flag de cero y el segundo 
operando se copia en AL, AX o EAX. Ejemplo: 


B81CA23456 mov eax, 5634A21C 

BB1CA23456 mov ebx, 5634A21C 

BICDAB3412 mov ecx, 1234ABCD 

OFBICB cmpxchg ebx, ecx EBX=1234ABCD ZF=1 
OFBICB cmpxchg ebx, ecx EAX=1234ABCD ZF=0 


cmpxchg$b (Compare and Exchange 8 Bytes) 


Esta instrucción es parecida a la anterior, pero funciona con parejas de registros 
(64bits). Se comparan EDX:EAX con el unico operando, que debe ser una zona de memoria de 
8 bytes de longitud. Si son iguales, se copia el valor de los registros ECX:EBX en la zona de 
memoria indicada por el operando; en caso contrario, el contenido de dicha zona se guarda en 
EDX:EAX. 


test (Logical Compare) 


E] principio de esta instrucción es, en cierto modo, el mismo de cmp, es decir, una 
operación entre dos valores que no se guarda, sino que puede modificar el estado de algunos 
flags (en este caso, SF, ZF y PF) que determinan si debe efectuarse el salto que también suele 
acompafiar a esta instrucción. La diferencia está en que en este caso, en vez de tratarse de una 
resta, se trata de una operación AND. 


Esta instrucción se utiliza para averiguar si determinados bits de uno de los operandos 
están a 1 o 0, empleando una máscara como segundo operando. También se utiliza para saber si 
un valor es cero, comprobándolo consigo mismo. Es el caso de este código que resulta tan 
familiar: 


E89DFFFFFF call 0040143C 
85C0 test eax, eax 
7505 jne 004014A8 


Si EAX es igual a cero, el resultado será cero; pero si es distinto de cero, al hacer un 
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AND de un bit de valor uno consigo mismo, el valor será uno y, en este caso concreto, se 
produciría el salto. Nos hemos adelantado al poner en el ejemplo la instrucción jne, pero 
enseguida veremos su significado. 


bt (Bit Test) 


Esta instrucción comprueba el valor del bit indicado por el segundo operando en el 
primer operando y lo copia en el flag de acarreo (CF). 


btc (Bit Test and Compliment) 

Esta instrucció es similar a la anterior, pero se diferencia en que después de copiar en el 
flag de acarreo el valor del bit comprobado, pone en este bit el complemento de su valor, es 
decir, el valor inverso. Veamos en un ejemplo la comparación con la instrucción anterior: 


BSCD34ABI2 mov eax, I2AB34CD 


OFBAEO10 bt eax, 10 


bit 31 bit 16 (10h) bit O 
| | | 
EAX = 0001 0010 1010 1011 0011 0100 1100 1101 


Después de efectuar esta instrucción, el registro EAX queda como estaba y el flag de 
acarreo queda con el valor del bit 16 (CF=1). 


OFBAFS10 btc eax, 10 

Después de efectuar esta otra instrucción, el bit 16 del registro EAX invierte su valor, 
pasando a valer 0 (EAX=12AA34CD) y el flag de acarreo queda con el valor anterior del bit 16 
(CF=1). 

btr (Bit Test and Reset) 


Una nueva variante. Esta vez guarda en el flag de acarreo el valor del bit comprobado, 
pero pone este bit a cero. 


B8CD34AB12 mov eax, 12AB34CD 
OFBAFOIO btr eax, 10 


El resultado de efectuar esta instrucción es el mismo que el del anterior ejemplo 
(EAX=12AA34CD y CF=1). 


bts (Bit Test and Set) 
Igual a la anterior, pero pone el bit comprobado a uno. 


B8CD34AB 12 mov eax, 12AB34CD 
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OFBAES10 bts eax, 10 

En este caso, EAX no varía y el flag de acarreo queda puesto a uno. 

bsf (Bit Scan Forward) 

Esta instrucción busca en el segundo operando, que puede ser un registro o una posición 
de memoria, el bit menos significativo cuyo valor sea igual a uno y coloca en el primer 


operando, que debe ser un registro, la posición que ocupa este bit empezando por el cero, desde 
la derecha. Con un ejemplo se verá mejor: 


BBCOB3A201 mov ebx, 01 A2B3C0 


OFBCC3 bsf eax, ebx EAX=6 


0 I A 2 B 3 C 0 
0000 0001 1010 0010 1011 0011 1100 0000 
| | | 


Bit 20h Bit 6 Bit Oh 


bsr (Bit Scan Reverse) 


Esta instrucción es similar a la anterior, pero buscando el bit más significativo puesto a 
uno. Veamos un ejemplo: 


BBCOB3A201 mov ebx, 01A2B3CO 


OFBDC3 bsr eax, ebx EAX=18 


0 |] A 2 B 3 C 0 
0000 0001 1010 0010 1011 0011 1100 0000 
| | | 


Bit 20h Bit 18h Bit 0 


2.3.8. Instrucciones de salto 
El listado de un programa consiste en una sucesión de instrucciones. Sin embargo a la 
hora de ejecutarlo, la ejecución del mismo no sigue el orden del listado, sino que, de acuerdo 


con distintas circunstancias y mediante las instrucciones de salto, se interrumpe la ejecución 
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lineal del programa para continuar dicha ejecución en otro lugar del código. 


Las instrucciones de salto son basicamente de dos tipos: de salto condicional y de salto 
incondicional. En el primer tipo, la instrucción de salto suele ponerse después de una 
comparación y el programa decide si se efectúa o no el salto, según el estado de los flags 
(excepto en un caso, en el que el salto se efectua si el valor del registro ECX o CX es cero). En 
el segundo, el salto se efectáa siempre. 


Tipos de salto 


Segün la distancia a la que se efectue el salto, estos se dividen en tres tipos: corto, 
cercano y lejano. También se dividen en absolutos o relativos, segün como se exprese en la 
instrucción la dirección de destino del salto. Como veremos, los saltos cortos y cercanos son 
relativos, y los largos absolutos. 


En el salto corto, la dirección de destino se expresa mediante un byte, que va a 
continuación del código de la instrucción. Este byte contiene un nümero con signo que, sumado 
a la dirección de la instrucción siguiente a la del salto, nos da la dirección de destino del mismo. 
Como este nümero es con signo, podemos deducir que un salto corto sólo puede efectuarse a 
una distancia hacia adelante de 127 bytes y hacia atrás de 128. Veamos dos ejemplos de salto 
COrto: 


:004011E5 83FBO5 cmp ebx, 00000005 
:004011E8 7505 jne 00401 1EF 
:00401 LEA C645002D mov [ebp+00], 2D 
:004011EF 83FB09 cmp ebx, 00000009 
:004011F2 72E2 jb 004011D6 
:004011F4 58 pop eax 


En el primer salto, la dirección de destino es la suma de la dirección de la instrucción 
siguiente y el desplazamiento: 4011EA+5=4011EF. En el segundo caso, E2 es un numero 
negativo, por lo que la dirección de destino es la de la instrucción siguiente menos la 
equivalencia en positivo de E2 (1E): 4011F4-1E=4011D6. Estos cálculos, por supuesto, no los 
hace el programador, que simplemente dirige el salto a una etiqueta para que luego el 
compilador coloque los códigos correspondientes. 


El salto cercano es básicamente lo mismo que el salto corto. La diferencia está en que la 
distancia a que se efectüa es mayor, y no se puede expresar en un byte, por lo que se dispone de 
cuatro bytes (en programas de 16 bits) que permiten saltos de 32767 bytes hacia adelante y 
32/768 hacia atrás o de ocho bytes (en programas de 32 bits) que permiten vertiginosos saltos de 
2147483647 bytes hacia adelante y 21474836478 bytes hacia atrás. 
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:0040194F OF8E96000000 jle 004019EB 


:00401955 8D4C2404 lea ecx, dword ptr [esp+04] 
:004019CB OF8566FFFFFF jne 00401937 
:004019D1 8DAC240C lea ecx, dword ptr [esp+0C] 


En la primera instrucción, la dirección de destino es: 401955+96= 4019EB. En la 
segunda la dirección es: 4019D1-9A- 401937. Los bytes que indican el desplazamiento están 
escritos al revés y que 9A es la equivalencia en positivo de FFFFFF66. 


Los saltos largos se utilizan cuando la instrucción de destino está en un segmento 
distinto al de la instrucción de salto. 


:0003.0C28 2EFFA72DOC jmp word ptr cs:[bx+0C2D] 
Saltos Condicionales 

Las instrucciones de salto condicional sólo admiten los formatos de salto corto y salto 
cercano, por lo que su código está formado por el código de la instrucción más un byte (cb), un 
word (cw) o un doubleword (cd) que determinan el desplazamiento del salto. 

A continuación se podrá ver una relación de las instrucciones de salto condicional, 
desglosadas según el tipo de salto, en la que pueden apreciarse las equivalencias entre 


instrucciones de nombre distinto pero idéntica función. 


Estas instrucciones equivalentes tienen el mismo código y se desensamblan con un 
nombre u otro, dependiendo del desensamblador. 


Salto corto: 


77 cb JA rel8 Si es superior (CF=0 y ZF=0) 
JNBE rel8 Si no es inferior o igual (CF=0 y ZF=0) 
73 cb JAE rel8 Si es superior o igual (CF=0) 
JNB rel8 $1 no es inferior (CF=0) 
JNC rel8 Si no hay acarreo (CF=0) 
76 cb JNA rel8 Si no es superior (CF=1 0 ZF=1) 
JBE rel8 Si es inferior o igual (CF=1 0 ZF=1) 
72 cb JNAE rel8 Si no es superior o igual (CF=1) 
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TF cb 


7D cb 


7E cb 


7C cb 


74 cb 


75 cb 


70 cb 


71 cb 


TA cb 


JB rel8 


JC rel8 


JG rel8 


JNLE rel8 


JGE rel8 


JNL rel8 


JNG rel8 


JLE rel8 


JNGE rel8 


JL rel8 


JE rel8 


JZ rel8 


JNE rel8 


JNZ rel8 


JO rel8 


JNO rel8 


JP rel8 


JPE rel8 


S1 es inferior 


Si hay acarreo 


Si es mayor 


Si no es menor o igual 


Si es mayor o igual 


Si no es menor 


Si no es mayor 


Si es menor o igual 


Si no es mayor o igual 


S1 es menor 


Si es igual 


S1 es cero 


Si no es igual 


S1 no es cero 


Si hay desbordamiento 


Si no hay desbordamiento 


Si hay paridad 


Si es paridad par 


(CF=1) 


(CF=1) 


(ZF=0 y SF=OF) 


(ZF=0 y SF=OF) 


(SF=OF) 


(SF=OF) 


(ZF=1 o SF<>OF) 


(ZF=1 o SF<>OF) 


(SF<>OF) 


(SF<>OF) 


(ZF=1) 


(ZF=1) 


(ZF=0) 


(ZF=0) 


(OF=1) 


(OF=0) 


(PF=1) 


(PF=1) 
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7B cb 


78 cb 


79 cb 


E3 cb 


JNP rel8 


JPO rel8 


JS rel8 


JNS rel8 


JCXZ rel8 


JECXZ rel8 


Salto cercano: 


OF 87 cw/cd 


OF 83 cw/cd 


OF 86 cw/cd 


OF 82 cw/cd 


OF SF cw/cd 


JA rel16/32 


JNBE rel16/32 


JAE rel16/32 


JNB rel16/32 


JNC rel16/32 


JNA rel16/32 


JBE rel16/32 


JNAE rel16/32 


JB rel16/32 


JC rel16/32 


JG rel16/32 


JNLE rel16/32 


Si no hay paridad 


Si es paridad impar 


Si es signo negativo 


Si no es signo negativo 


Si CX=0 


Si ECX=0 


Si es superior 


Si no es inferior o igual 


Si es superior o igual 


S1 no es inferior 


Si no hay acarreo 


Si no es superior 


Si es inferior o igual 


Si no es superior o igual 
Si es inferior 


Si hay acarreo 


Si es mayor 


Si no es menor o igual 


(PF=0) 


(PF=0) 


(SF=1) 


(SF=0) 


(CF=0 y ZF=0) 


(CF=0 y ZF=0) 


(CF=0) 
(CF=0) 


(CF=0) 


(CF=1 0 ZF=1) 


(CF=1 o ZF=1) 


(CF=1) 


(CF=1) 


(CF=1) 


(ZF=0 y SF=OF) 


(ZF=0 y SF=OF) 
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OF 8D cw/cd 


OF SE cw/cd 


OF 8C cw/cd 


OF 84 cw/cd 


OF 85 cw/cd 


OF 80 cw/cd 


OF 81 cw/cd 


OF 8A cw/cd 


OF SB cw/cd 


OF 88 cw/cd 


OF 89 cw/cd 


JGE rel16/32 


JNL rel16/32 


JNG rel16/32 


JLE rel16/32 


JNGE rel16/32 


JL rel16/32 


JE rel16/32 


JZ rel16/32 


JNE rel16/32 


JNZ rel16/32 


JO rel16/32 


JNO rel16/32 


JP rel16/32 


JPE rel16/32 


JNP rel16/32 


JPO rel16/32 


JS rel16/32 


JNS rel16/32 


Si es mayor o igual 


S1 no es menor 


Si no es mayor 


Si es menor o igual 


Si no es mayor o igual 


S1 es menor 


Si es igual 


Si es cero 


Si no es igual 


Si no es cero 


Si hay desbordamiento 


Si no hay desbordamiento 


Si hay paridad 


Si es paridad par 


Si no hay paridad 


Si es paridad impar 


Si es signo negativo 


Si no es signo negativo 


(SF=OF) 


(SF=OF) 


(ZF=1 o SF<>OF) 


(ZF=1 o SF<>OF) 


(SF<>OF) 


(SF<>OF) 


(ZF=1) 


(ZF=1) 


(ZF=0) 


(ZF=0) 


(OF=1) 


(OF=0) 


(PF=1) 


(PF=1) 


(PF=0) 


(PF=0) 


(SF=1) 


(SF=0) 
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NOTA: La diferencia entre mayor/menor y superior/inferior es la de que mayor/menor 
se refiere al resultado de la comparación entre nümeros con signo, y superior/inferior al de la 
comparación entre numeros sin signo. 


Una vez relacionados todos los saltos habidos y por haber, pensemos que en general los 
únicos saltos que nos interesan son jz/je o jnz/jne, jg o jng y jle o jnle. La primera pareja de 
saltos se efectúa para aceptar que el programa está registrado o para admitir como correcto el 
serial number que hemos introducido. Las otras dos las podemos encontrar en comprobaciones 
de los días que restan del período de prueba de un programa. 


Veremos a continuación tres ejemplos de comparación donde se podrá apreciar el estado 
de los flags afectados por el resultado y los saltos que se ejecutan segün este estado. Como se 
puede ver, vamos a limitarnos a los saltos más corrientes. 

:00401144 B81F126700 mov eax, 0067121F 
:00401149 3D998C1900 cmp eax, 00198C99 SF=0 CF=0 OF=0 ZF=0 


El estado de los flags hace que puedan efectuarse estos cinco saltos: 


:0040114E 7700 ja 00401150 
:00401150 7300 jae 00401152 
00401152 7F00 jg 00401154 
:00401154 7D00 jge 00401156 
:00401156 7500 jne 00401158 


Otra comparación: 
:00401158 3DE1019300 

Y los cinco saltos posibles: 
:0040115D 7200 
:0040115F 7600 
:00401161 7C00 
:00401163 7EOO 
:00401165 7500 

La ültima comparación: 


:00401167 3D1F126700 


cmp eax, 009301E1 SF-1 CF=1 OF=0 ZF=0 


jb 0040115F 
jbe 00401161 
j1 00401163 

jle 00401165 


jne 00401167 


cmp eax, 0067121F SF=0 CF=0 OF=0 ZF=1 
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Y los ultimos cinco saltos: 


:0040116C 7400 


:0040116E 7300 


:00401170 7600 


:00401172 7D00 


:00401174 7E00 


je 0040116E 

jae 00401170 
jbe 00401172 
jge 00401174 


jle 00401176 


También se puede invertir los saltos condicionales para registrar un programa. Debemos 
obligar al programa a que haga lo que queremos que haga, por lo que si ha de saltar para quedar 
registrado, debemos substituir el salto condicional por uno incondicional y si no debe saltar, 
substituir el salto condicional por nops u otra solución más elegante. Por ejemplo: 


:00401135 3BCB 
:00401137 7547 
:00401139 84C0 


:0040113B 7443 


:00401149 3BCB 
:0040114B OF85E3000000 
:00401151 SACH 
:00401153 OF84DBO00000 
:00401159 40 

Se puede substituir por: 
:00401135 3BCB 
:00401137 EBOO 
:00401139 84C0 


:0040113B EB43 


:00401149 3BCB 
:0040114B EBOO 


:0040114D EBOO 


cmp ecx, ebx 


jne 00401180 No queremos que salte 
test al, al 
je 00401180 Queremos que salte 


cmp ecx, ebx 


jne 00401234 No queremos que salte 
test al, al 

je 00401234 Queremos que salte 
inc eax 


cmp ecx, ebx 


jmp 00401139 Salta a la instrucción siguiente 
test al, al 
jmp 00401 180 Salta siempre 


cmp ecx, ebx 
jmp 0040114D Salta a la instrucción siguiente 


jmp 00401 14F Salta a la instrucción siguiente 
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:0040114F EBOO jmp 00401151 Salta a la instrucción siguiente 


:00401151 84CO test al, al 

:00401153 90 nop 

:00401154 E9DB000000 jmp 00401234 Salta siempre 
:00401159 40 inc eax 


Como se puede ver el resultado es el mismo. Especial atención requieren los tres saltos 
seguidos para evitar poner seis nops (o tres nops "dobles" 6690). Esta solución está dedicada a 
todos aquellos que no les gusta poner nops, aunque parece peor el remedio que la enfermedad. 


Salto incondicional 
Es un salto que no está sujeto a ninguna condición, es decir, que se efectúa siempre. 


Hay una sola instrucción: jmp. Esta instrucción admite los tres tipos de salto: corto, cercano y 
lejano. Los siguientes ejemplos ilustran estos saltos: 


:004011DA . EB30 jmp 0040120C 

:00402B35 E9F8000000 jmp 00402C32 

:0001.02B4 E94D01 jmp 0404 

:0003.0C28 2  EFFA72DOC jmp word ptr cs:[bx+0C2D] 


2.3.9. Instrucciones de subrutinas 


Las subrutinas son grupos de instrucciones con una finalidad concreta, que pueden ser 
llamadas desde uno o varios puntos del programa, al que regresan después de la ejecución de 
dicha subrutina. La utilización de subrutinas permite una mejor estructuración del programa al 
dividirlo en bloques independientes y evita la repetición del código de procesos que se ejecutan 
varias veces a lo largo de la ejecución del programa. 


Para la ejecución de una subrutina, son necesarios algunos parámetros que pueden estar 
en registros, en posiciones de la memoria o en la pila. En este último caso (generalmente en 
programas escritos en lenguajes de alto nivel), la llamada a la subrutina está precedida de 
algunas instrucciones push que tienen la misión de colocar esos parámetros en la pila. Según el 
lenguaje empleado en la programación, a veces es necesario ajustar la pila, modificando 
directamente el valor del registro ESP o añadiendo un parámetro a la instrucción ret, consistente 
en el número que hay que sumar al registro ESP para que la dirección de retorno sea la correcta 


Los resultados obtenidos después de la ejecución de la subrutina suelen guardarse en los 
registros (especialmente en EAX) o bien en posiciones de memoria indicadas por éstos. Por esta 
razón, es conveniente al encontrarse con una subrutina "sospechosa" mirar los datos de entrada, 
viendo los valores colocados en la pila o las direcciones a las que apuntan estos valores y los 
datos de salida mirando el contenido de los registros o de las direcciones a que apuntan. 


call (Call Procedure) 
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Es la instrucción que efectua el salto al punto de inicio de la subrutina. Además de esto, 
coloca en la pila la dirección de la instrucción siguiente, que será el punto de regreso después de 
ejecutarse la subrutina. 


ret (Return from Procedure) 


Complementa a la anterior y tiene la misión de regresar a la instrucción siguiente a la de 
llamada a la subrutina. Para ello, efectáa un salto a la dirección contenida en la pila, quedando 
ésta como estaba antes del call. Como hemos visto, puede ir acompafiada de un parámetro para 
ajuste de la pila. 


Veamos un ejemplo de cómo va variando el registro ESP segün se ejecutan las 
instrucciones descritas: 


ESP=63FB1C 
:00401144 53 push ebx ESP=63FB18 (-4) 
:00401145 6651 push cx ESP=63FB16 (-2) 
:00401147 6808304000 push 00403008 ESP=63FB12 (-4) 
:0040114C E8B3000000 call 00401204 ESP=63FBOE (-4) 
:00401204 40 inc eax 
ESP=63FBOE 
(00401296 C20A00 ret 000A ESP=63FBIC (+A+4) 
700401151 Continua la ejecución del programa... 
o bien: 
ESP=63FB1C 
:00401144 53 push ebx ESP=63FB18 (-4) 
:00401145 6651 push cx ESP=63FB16 (-2) 
:00401147 6808304000 push 00403008 ESP=63FB12 (-4) 
:0040114C E8B3000000 call 00401204 ESP=63FBOE (-4) 
:00401204 40 inc eax 
ESP=63FBOE 
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00401296 C3 ret ESP=63FB12 (+4) 


700401151 83C40A add esp, 0000000A  ESPZ63FBIC (+A) 


:00401154 Continüa la ejecución del programa... 


Como vemos, el resultado es el mismo; lo contrario causaría un crash del programa. 


Hay algo que todos hemos visto muchas veces con emoción: 


E89DFFFFFF call 0040143C 
85C0 test eax, eax 
7505 jne 004014A8 


Es el clásico call con la comprobación al regreso que decide si somos chicos buenos o 
chicos malos. Una forma de resolver la situación es la de substituir las primeras instrucciones 
del call por: 


33C0 xor eax, eax 
C3 ret 

o bien: 
33C0 xor eax, eax 
40 inc eax 
C3 ret 


Con esto conseguimos que EAX, al regreso del call, tenga el valor cero o uno, segün 
nos interese. Pero esto no siempre puede hacerse. Hay que asegurarse de que dentro del call no 
haya algün reajuste de la pila que nos lleve a la catástrofe. Para ello, debemos verificar el valor 
de ESP antes y después de la ejecución del call. Si son los mismos no hay problema, pero si son 
distintos podemos tratar de ajustar el valor de la pila y, segun el resultado, buscar otro sistema. 
Hay que tener en cuenta que si hay alguna instrucción push antes del call, ésta también modifica 
el registro ESP y es posible que eliminándola se corrija el desajuste. Lo mismo vale para el 
clásico call que se quiere eliminar bien porque hace aparecer una nag, o bien por cualquier otra 
causa. 


2.3.10. Instrucciones de bucle 


loop (Loop According to ECX Counter) 
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Esta instrucción efectáa un bucle un numero de veces determinado por el registro ECX. 
Equivale a las instrucciones dec ecx / jnz. Veamos un ejemplo doble: 


:00401150 33C0 xor eax, eax 

:00401 152 B90A000000 mov ecx, 0000000A 
:00401157 40 inc eax 

:00401158 E2FD loop 00401157 


Se ejecutaría diez veces el bucle, por lo que el valor final de EAX seria de 00000004A. 
También se ejecutaría diez veces el bucle equivalente: 


:00401150 33C0 xor eax, eax 
:00401152 B90A000000 mov ecx, 0000000A 
:00401157 40 inc eax 

:00401158 49 dec ecx 

:00401159 75FC jne 00401157 


Existen variantes de esta instrucción que, además de depender del registro ECX, están 
condicionadas al estado del flag de cero (ZF): 


loope/loopz Se efectúa el bucle si ECX es distinto de cero y ZF=1 


loopne / loopnz Se efectúa el bucle si ECX es distinto de cero y ZF=0 


2.3.11. Instrucciones de cadenas 


En este apartado se han agrupado instrucciones que podían haber estado igualmente en 
otros apartados, como de comparación, de entrada/salida, etc. pero con el objetivo de mantener 
cierta coherencia se incluyen todas las instrucciones de cadenas juntas. 


rep (Repeat String Operation Prefix) 

Esta instrucción se emplea en combinación con otras instrucciones de cadenas: MOVS, 
LODS, STOS, INS y OUTS. Tiene la finalidad de repetir la instrucción asociada una cantidad 
de veces determinada por los registros CX o ECX, segün el programa trabaje con 16 ó 32 bits 
(En realidad el valor del registro se va decrementando en cada repetición, hasta llegar a cero). 

Esta instrucción o, mejor dicho, las instrucciones asociadas, están relacionadas con los 
registros ESI y EDI, por lo que en cada repetición dichos registros se van incrementando o 
decrementando para apuntar siempre a la posición de memoria correspondiente. 
repe (Repeat While Equal) / repz (Repeat While Zero) 

Estas instrucciones se combinan con CMPS y SCAS. Son similares a rep, pero en este 


caso la repetición está condicionada a que el contenido del registro ECX sea distinto de cero y a 
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que el flag de cero (ZF) sea igual a uno. 
repne (Repeat While Not Equal) / repnz (Repeat While Not Zero) 


Instrucciones iguales a las anteriores, con la diferencia de qué, para que se efectúe la 
repetición, el flag de cero debe ser igual a cero, en vez de igual a uno. 


movs / movsb /movsw / movsd (Move Data from String to String) 


Estas instrucciones tienen la misión de copiar el contenido de un espacio de memoria a 
partir de la dirección DS:ESI a otro espacio direccionado por ES:EDI. La longitud del espacio 
de memoria a copiar está indicada por el sufijo de la instrucción (byte / word / doubleword) y 
por el contenido del registro ECX. 


lods / lodsb / lodsw lodsd (Load String) 

Estas instrucciones se encargan de copiar un byte, word o doubleword, de la dirección 
indicada por DS:ESI al registro AL, AX o EAX, según el tamaño de la información a copiar 
indicado por el sufijo de la instrucción. Veremos un ejemplo al tratar de la instrucción scas. 
stos / stosb / stosw / stosd (Store String) 

Estas instrucciones son, en cierto modo, las inversas de las anteriores, ya que colocan el 
contenido de AL, AX o EAX, segün el tamafio de la información a copiar indicado por el sufijo 
de la instrucción, en la dirección indicada por ES:EDI. 


cmps / cmpsb / cmpsw / cmpsd (Compare String Operands) 


Estas instrucciones comparan un byte, word o doubleword de la dirección indicada por 
DS:ESI con el valor del mismo tamaño situado en la dirección ES:EDI. Veamos un ejemplo: 


F3 repz 
A6 cmpsb 

En la dirección DS:ESI estaba el serial introducido, en la ES:EDI, el serial correcto y en 
ECX la longitud del serial introducido, que naturalmente era preciso que fuera igual que la del 
correcto. 
scas / scasb /scasw / scasd (Scan String) 

Estas instrucciones comparan un byte, word o doubleword de la dirección indicada por 


ES:EDI con el valor del registro AL, AX o EAX, segün el sufijo de la instrucción. Veamos un 
ejemplo: 


AC lodsb 
F2 repnz 
AE scasb 
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Primero colocariamos en AL el contenido de la posición de memoria indicada por 
DS:ESI. A continuación compararíamos el contenido de ese registro con el byte situado en la 
dirección indicada por ES:EDI, repitiéndose la operación con los bytes siguientes hasta 
encontrar un byte del mismo valor o hasta que el contenido del registro ECX fuera cero. 


ins / insb / insw / insd (Input from Port to String) 

Estas instrucciones se emplean para colocar en la dirección ES:EDI un byte, word o 
doubleword segün el sufijo de la instrucción, obtenido de un puerto de entrada / salida cuyo 
nümero es el indicado por el valor del registro DX. 
outs / outsb / outsw / outsd (Output String to Port) 

Estas instrucciones funcionan al revés que las anteriores, es decir que colocan un byte, 


word o doubleword, segün el sufijo de la instrucción, situado en la dirección DS:ESI, en un 
puerto de entrada / salida cuyo numero es el indicado por el valor del registro DX. 


2.3.12. Instrucciones de Entrada / Salida 


in (Input from Port) 


Copia el valor procedente del puerto de entrada / salida indicado por el segundo 
operando, en el primero. El segundo operando puede ser el registro DX o un valor inmediato del 
tamafio de un byte (sólo para valores comprendidos entre 0 y 255). El primer operando serán los 
registros AL, AX o EAX, según el tamaño del valor a transferir. 


out (Output to Port) 

Copia el valor contenido en el segundo operando, en el puerto de entrada / salida 
indicado por el primer operando. El primer operando puede ser el registro DX o un valor 
inmediato del tamaño de un byte (sólo para valores comprendidos entre O y 255). El segundo 


operando serán los registros AL, AX o EAX, según el tamaño del valor a transferir. 


Veamos una aplicación de estas dos instrucciones: 


E461 in al, 61 
0C03 or al, 03 
E661 out 61, al 


Inicia el sonido del altavoz interno. 


33C0 xor eax, eax 
E642 out 42, al 
40 inc eax 


3DFF00000 cmp eax, 000000FF 


76F6 jbe 0040114D 
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La ejecución de este código permite oír sólo un chasquido pero, si se ejecuta paso a 
paso, se puede oír toda una escala de tonos. 


E461 in al, 61 
24FC and al, FC 
E661 out 61, al 


Finaliza el sonido del altavoz interno. Este código es importante, porque si no estuviera 
deberíamos apagar el ordenador para dejar de oír el ruido. 


2.3.13. Instrucciones de rotación y desplazamiento 

Estas instrucciones toman los bits de un valor indicado en el primer operando y los 
desplazan un numero de posiciones determinado por el segundo operando, que puede ser un 
valor determinado, o un valor contenido en el registro CL. Estos desplazamientos pueden ser 
aritméticos o lógicos. Los desplazamientos aritméticos se efectúan con números sin signo y los 
espacios vacíos que se crean se rellenan con ceros. Los lógicos se efectúan con números con 
signo y el valor con que se rellenan los espacios que se crean es el adecuado para que el 
resultado sea el correcto. 

sal (Shift Arithmetic Left) / shl (Shift Left) 

Estas dos instrucciones son de desplazamiento aritmético a la izquierda y 
desplazamiento lógico a la izquierda respectivamente. Colocan el bit menos significativo de los 
que desaparecen, en el flag de acarreo y rellenan los espacios que se crean a la derecha con 
ceros. Son equivalentes e incluso tienen el mismo código de operación. En la práctica, lo que 
hacen es multiplicar el primer operando por dos, tantas veces como indique el segundo. 


B84B28D17C mov eax, 7CD1284B 


DIEO shleax, 1 EAX=F9A25096 CF=0 


7 C D 1 2 8 4 B 
<-1 0111 1100 1101 0001 0010 1000 0100 1011 
1111 1001 1010 0010 0101 0000 1001 0110 
F 9 A 2 5 0 9 6 
7CD1284Bx(2')=F9A25096 
B83B52E48A mov eax, 8AE4523B 


C1E008 shl eax, 08 EAX=F4523B00 CF=0 
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8 A E 4 5 2 3 B 
<-8 1000 1010 1110 0100 0101 0010 0011 1011 
1110 0100 0101 0010 0011 1011 0000 0000 
E 4 5 2 3 B 0 0 


8AE4523Bx(2°)=E4523B00 


sar (Shift Arithmetic Right) 

Instrucción de desplazamiento aritmético a la derecha. El bit más significativo de los 
que desaparecen se coloca en el flag de acarreo y las posiciones que se crean a la izquierda se 
rellenan con el bit más significativo. En la práctica significa dividir con signo el primer 
operando por dos, tantas veces como indique el segundo, redondeando por defecto. 


B83A52E48A mov eax, 8AF4523A 


C1F802 sar eax, 02 EAX=E2B9148E CF-I SF=1 


8 A E 4 5 2 3 A 
2 -> 1000 1010 1110 0100 0101 0010 0011 1010 
1110 0010 1011 1001 0001 0100 1000 1110 


E 2 B 9 l 4 6 E 


8AE4523A:(2°)=E2B9148E -1964748230d:4=-491187058d 
shr (Shift Right) 

Instrucción de desplazamiento lógico a la derecha. El bit más significativo de los que 
desaparecen, se coloca en el flag de acarreo y las posiciones que se crean a la izquierda se 
rellenan con ceros. En la práctica significa dividir sin signo el primer operando por dos, tantas 
veces como indique el segundo, redondeando por defecto. 


B83A52E48A mov eax, 8AF4523A 


CIES02 shr eax, 02 EAX=22B9148E CF=1 


8 A E 4 5 2 3 A 


2 -> 1000 1010 1110 0100 0101 0010 0011 1010 
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0010 0010 1011 1001 0001 0100 1000 1110 


2 2 B 9 I 1 6 E 


8AE4523A:(2”)=22B9148E 2330219066:4=582554766 


shld (Double Precision Shift Left) 


Instrucción de desplazamiento lógico a la izquierda, parecida a shl pero con la 
diferencia de que los bits añadidos por la derecha no son ceros, sino que se toman del segundo 
operando, empezando por la izquierda, es decir por el bit más significativo. Vamos a ver un 
ejemplo: 


B8CDAB3412 moveax, 1234ABCD 
BB78563512 movebx, 12355678 
OFA4D808 shld eax, ebx, 08 EAX=34ABCD12 


1 2 3 4 A B C D 1 Ge E. 
<-8 0001 0010 0011 0100 1010 1011 1100 1101 0001 0010 0011 0101 ... 
0011 0100 1010 1011 1100 1101 0001 0010 
3 4 A B C D | 2 
shrd (Double Precision Shift Right) 
Instrucción de desplazamiento lógico a la derecha, parecida a shr pero con la diferencia 


de que los bits añadidos por la izquierda no son ceros, sino que se toman del segundo operando, 
empezando por la derecha, es decir por el bit menos significativo. Veamos un ejemplo: 


BSCDAB23412 mov eax, 1234ABCD 
BB78563412 mov ebx, 12345678 
OFACDSOS shrd eax, ebx, 08 EAX=781234AB 


7 8 l 2. 30 e A- BC D 
8-> 60111 1000 0001 0010 0011 0100 1010 1011 1100 1101 
0111 1000 0001 0010 0011 0100 1010 1011 


7 8 I 2 3 4 A B 
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rol (Rotate Bits Left) 


Instrucción de rotación a la izquierda. Los bits que desaparecen por la izquierda, se van 
colocando por la derecha y en el flag de acarreo se coloca el valor del ultimo bit que ha rotado. 


B83A52E48A mov eax, 8AF4523A 


C1C002 roleax, 02 EAX=2B9148EA CF=0 


8 A E 4 5 2 #3 A 
«- 2 1000 1010 1110 0100 0101 0010 0011 1010 
0010 1011 1001 0001 0100 1000 1110 1010 
2 . B 9 1 4 8 E A 
ror (Rotate Bits Right) 


Instrucción de rotación a la derecha. Los bits que desaparecen por la derecha, se van 
colocando por la izquierda y en el flag de acarreo se coloca el valor del áltimo bit que ha rotado. 


B83A52E48A mov eax, 8AEA4523A 


C1C802 ror eax, 02 EAX=A2B9148E CF=1 


8 A E 4 5 2 3 A 
2 -> 1000 1010 1110 0100 0101 0010 0011 1010 
1010 0010 1011 1001 0001 0100 1000 1110 
A 2 B 9 1 4 8 E 
rcl (Rotate Bits Left with CF) 
Instrucción de rotación a la izquierda pasando por el bit de acarreo. Los bits que 


desaparecen por la izquierda, se van colocando en el bit de acarreo y el valor anterior de éste, se 
coloca a la derecha. 


Si CF=0: 
B83A52E48A mov eax, 8AE4523A CF=0 
C1D002 rcl eax, 02 EAX-2B9148E9 CF=0 
S A E 4 5 2 3 A 
«- 2 1000 1010 1110 0100 0101 0010 0011 1010 CF=0 
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0010 1011 1001 0001 0100 1000 1110 1001 


2 B 9 I 4 6 E 9 


Si CF=1: 
B83A52E48A mov eax, 8AE4523A CF=1 
C1D002 rcl eax, 02 EAX=2B9148EB CF=0 


8 A E 4 5 2 3 A 
«- 2 1000 1010 1110 0100 0101 0010 0011 1010 CF=0 
0010 1011 1001 0001 0100 1000 1110 1011 
2 B 9 1 4 8 E B 
rcr (Rotate Bits Right with CF) 
Instrucción de rotación a la derecha pasando por el bit de acarreo. Los bits que 


desaparecen por la derecha, se van colocando en el bit de acarreo y el valor anterior de éste, se 
coloca a la izquierda. 


Si CF=0: 
B83A52E48A mov eax, SAE4523A CF=0 
C1D802 rcr eax, 02 EAX-22B9148E CF=1 


8 A E 4 5 2 3 A 
2 -> 1000 1010 1110 0100 0101 0010 0011 1010 
0010 0010 1011 1001 0001 0100 1000 1110 


2, 2 B 9 l 4 6 E 


$i CF=1: 
B83A52EA48A mov eax, SAE4523A CF=1 
C1D802 rcr eax, 02 EAX=62B9148E CF=1 
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8 A E 4 5 2 3 A 
2 -> 1000 1010 1110 0100 0101 0010 0011 1010 
0110 0010 1011 1001 0001 0100 1000 1110 


6 2 B 9 l 4 8 E 


2.3.14. Instrucciones de conversión 


Se utilizan para duplicar la longitud de un número con signo. Para esto, rellenan el 
espacio añadido con el valor del bit más significativo del número original. 


cbw (Convert Byte to Word) 


Esta instrucción convierte el byte contenido en el registro AL en un word contenido en 
AX. En el primero de los ejemplos siguientes, el espacio ampliado se rellena con unos porque el 
bit más significativo de 80h es uno. En el segundo ejemplo, se rellena con ceros porque el bit 
más significativo de 7832h es cero. 


B880E3DA12 mov eax, 12DAE380 

6698 cbw EAX=12DAFF80 
B832782100 mov eax, 00217832 

6698 cbw EAX=00210032 


cwde (Convert Word to Doubleword) 


Esta instrucción tiene una función similar a cbw, pero entre AX y EAX. 


B880E3DA12 mov eax, 12DAE380 

98 cwde EAX=FFFFE380 
B832782100 mov eax, 00217832 

98 cwde EAX=00007832 


cwd (Convert Word to Doubleword) 


Esta instrucción añade al word contenido en el registro AX, el word contenido en DX, 
formando el doubleword AX:DX. El registro DX se rellena con unos o ceros, igual que en los 
casos anteriores, como se puede ver en los ejemplos siguientes: 


B880E3DA82 mov eax, 82DAE380 
BAIIIIIIII mov edx, 11111111 
6699 cwd EAX-82DAE380 | EDX-IIIIFFFF 
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B832782100 mov eax, 00217832 
BAIIIIIIII mov edx, 11111111 


6699 cwd EAX=00217832 EDX=11110000 


cdq (Convert Double to Quad) 


Esta instrucción tiene una función similar a cwd, pero entre EAX y EDX, formando el 
quadword EAX:EDX. 


B8&80E3DA82 mov eax, 82DAE380 

BAIIIIIIII mov edx, 11111111 

99 cdq EAX-82DAE380 EDX=FFFFFFFF 
B832782100 mov eax, 00217832 

BAIIIIIIII mov edx, 11111111 

99 cdq EAX=00217832 EDX=00000000 


2.3.15. Instrucciones de flags 
cle (Clear Carry Flag) 

Pone el flag de acarreo (CF) a cero. 
ste (Set Carry Flag) 

Pone el flag de acarreo (CF) a uno. 
cmc (Complement Carry Flag) 

Complementa el flag de acarreo (CF). Es decir, que invierte su valor. 
cld (Clear Direction Flag) 

Pone el flag de dirección (DF) a cero. 
std (Set Direction Flag) 

Pone el flag de dirección (DF) a uno. 
cli (Clear Interrupt Flag) 

Pone el flag de interrupción (IF) a cero. 


sti (Set Interrupt Flag) 
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Pone el flag de interrupci6n (IF) a uno. 
lahf (Load Status Flags into AH Register) 

Guarda en AX los flags de signo, cero, auxiliar, paridad y acarreo. Los bits 1, 3 y 5 
tienen valores fijos, por lo que el registro AX queda formado por: SF:ZF:0: AF:0:PF:1:CF. En el 
siguiente ejemplo, si suponemos que: SF=0, ZF=1, AF=0, PF=1 y CF=0: 

9F LAHF EAX=xxxx46xx 

SZOA OPIC 
Ded. dpi] 

AH valdrá 46h que es igual a: 0100 0110 

sahf (Store AH into Flags) 


Esta instrucción efectúa la operación inversa a la anterior. Es decir, que pone los flags a 
uno o a cero, de acuerdo con el valor de AH. 


2.3.16. Instrucciones de interrupción 
int (Call to Interrupt Procedure) 


Esta instrucción causa una interrupción de software determinada por su ünico operando 
y se desglosa en tres, segün su código de operación: 


CC INT 3 

La interrupción 3 hace que un debugger detenga la ejecución del programa. Es la 
instrucción que inserta el debugger en un programa cuando ponemos un breakpoint en un punto 
de la ejecución del mismo. 

CD nn INT nn 

E] nümero de la interrupción viene dado por un valor inmediato de un byte de longitud. 


CE INTO 


Esta instrucción corresponde a la interrupción 4. Comprueba el valor del flag de 
desbordamiento (OF) y, si está activado, efectúa una llamada a dicha interrupción. 


iretd / iret (Interrupt Return 32 / 16 bits) 


Se produce el retorno de la rutina de interrupción y contináa la ejecución del programa. 


2.3.17. Instrucciones del procesador 


enter (Make Stack Frame for Procedure Parameters) 
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Esta instrucción crea un espacio en la pila requerido por algunos lenguajes de alto nivel. 
Está acompanada de dos parámetros, el primero indica la longitud del espacio reservado y el 
segundo el nivel de anidamiento léxico, o nivel de anidamiento de los procedimientos del 
programa. La longitud del espacio a reservar se resta de ESP, y el nuevo contenido de este 
registro se copia en EBP. Veamos un ejemplo para aclarar los efectos de esta instrucción: 


ESP=63FB1C EBP=63FB44 

C8000404 ` enter 0400, 04 ESP=63F708 EBP=63FB18 

La nueva dirección de la pila es el resultado de restarle a la anterior 404h, es decir, 4 
bytes para guardar el contenido de EBP y 400h de espacio reservado. El nuevo contenido de 
EBP es la dirección en que esta situado su anterior valor. 
leave (High Level Procedure Exit) 

Instrucción que complementa a la anterior. Restituye los valores de la pila anteriores a 
la ültima instrucción enter. Veamos la continuación del ejemplo anterior, suponiendo que 
posteriores instrucciones no hubiesen modificado los valores de EBP y ESP: 

ESP=63F708 EBP=63FB18 

C9 leave ESP=63FB1C EBP=63FB44 
bound (Check Array Index Against Bounds) 

Esta instrucción tiene dos parámetros y se encarga de determinar si el primer operando 
(un registro), que actáa como índice de una array, tiene un valor comprendido entre los límites 
establecidos de los valores de dicha array. 

:0040114C 622B bound ebp, dword ptr [ebx] 

En el ejemplo, EBX contiene el valor inferior establecido para la array (en este caso, 
00000000) y EBX+4, el valor superior (en este caso, 000000FFh). Si el valor de EBP no 
estuviera comprendido entre ambos, se produciría una interrupción 5. En efecto, si le damos a 
EBP un valor superior a FFh el resultado es que nos aparece el siguiente aviso: 

XXXX provocó una excepción 05H en el módulo xxxx.EXE de 0167:0040114c. 


hit (Halt) 


Instrucción sin parámetros que detiene la ejecución del programa. Dicha ejecución se 
puede reanudar si ocurre una interrupción o mediante un reset del sistema. 


wait (Wait) 


Instrucción que suspende la ejecución del programa mientras espera que termine de 
efectuarse alguna operación de coma flotante. 
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Capitulo 3 


INTRODUCCION A LA INGENIERIA INVERSA 





3.1 ¿Qué es la Ingeniería Inversa? 


La ingeniería inversa consiste en el proceso de tomar un binario compilado e 
intentar recrear (o, simplemente, entender) el funcionamiento originario del programa. Un 
programador escribe inicialmente un programa, por lo general en un lenguaje de alto nivel 
como C ++ o Visual Basic. Debido a que el equipo no habla inherentemente estos lenguajes, 
el código que escribió el programador es ensamblado a un formato más específico, de 
manera que el equipo pueda entenderlo. A este código se le llama lenguaje de bajo nivel o 
simplemente lenguaje del equipo. El reto de la ingeniería inversa consiste en coger ese 
código poco amigable para el común de los mortales y averiguar lo que el programador 
tenía en mente a la hora de escribirlo. 


3.2 aplicaciones de la ingeniería inversa 


La ingeniería inversa se puede aplicar a muchas áreas de la informática, sin 
embargo vamos enumerar cinco categorías genéricas: 


> Posibilidad de interactuar con el código heredado sin conocer el código fuente. 


> De forma fraudulenta crackeando software. 
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» Estudiar virus y malware. 
» Evaluar la calidad y la robustez del software. 


> Añadir funcionalidad al software existente. 


3.3 Conocimientos previos necesarios 


Como se puede imaginar, es necesario poseer una gran cantidad de conocimiento para 
ser un ingeniero inverso eficaz. Afortunadamente, no es necesario tener muchos conocimientos 
para 'empezar' con la ingeniería inversa. 


No obstante para sacarle el máximo provecho a este tutorial debemos estar 
familiarizados con unos conocimientos básicos acerca del flujo de un programa. Conocer las 
estructuras de control, como por ejemplo if...then, conocer lo que es un array, un bucle,... 
puede facilitarnos el trabajo. 


Por otra parte, familiarizarse con el lenguaje ensamblador es muy recomendable. No es 
un requisito indispensable pero para entender realmente lo que estamos haciendo, ASM es de 
estudio obligado. A mayores, una gran cantidad de tiempo se dedica a aprender a usar 
herramientas. Estas herramientas son de gran valor para la ingeniería inversa, pero también 
requieren aprender atajos, defectos e idiosincrasias de cada herramienta. Finalmente, la 
ingeniería inversa requiere de una cantidad significativa de experimentación; jugando con 
diferentes empacadores / protectores / esquemas de cifrado, el aprendizaje acerca de los 
programas escritos ` originalmente en diferentes lenguajes | de ` programación 
(incluso Delphi), descifrar trucos de ingeniería anti-inversa ... etc. 


3.4 herramientas utilizadas en ingeniería inversa 


En Ingeniería Inversa se pueden usar una gran cantidad de herramientas. Muchos están 
especializados en el tipo de protección de determinados binarios. Otros simplemente tratan de 
facilitar el trabajo de los ingenieros inversos. La mayoría de ellos se pueden englobar en las 
siguientes categorías. 


3.4.1 DESENSAMBLADORES 


Desensambladores intentan mostrar el código del lenguaje de la máquina en un formato 
más amigable a los ojos de los humanos. También extrapolan datos como llamadas a funciones, 
pasan variables y cadenas de texto. Esto hace que el aspecto del ejecutable sea un código más 
legible en lugar de un montón de nümeros insertados aleatoriamente. Hay muchas tipos de 
desensambladores, algunos de ellos están especializados en binarios específicos (como los 
binarios escritos en Delphi). Ejemplos de desensambladores: IDA, Ollydbg. 


3.4.2 DEPURADORES 


Los depuradores (debuggers) son el pan de cada día para los ingenieros inversos. 
Primero analizan el código binario, para luego permitir el estudio del código, ejecutando las 
líneas de una en una para investigar los resultados. Esto es imprescindible para descubrir cómo 
funciona un programa. Por último, algunos depuradores permiten cambiar ciertas instrucciones 
en el código para luego correrlos otra vez con estos cambios. Ejemplos de depuradores son 
WinDbg y OllyDbg. 
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3.4.3 EDITORES HEXADECIMALES 


Los Editores Hexadecimales permiten ver los bytes reales en un binario, y cambiarlos. 
También ayudan en la búsqueda de bytes específicos, guardando secciones de un binario en el 
disco, y mucho más. Hay muchos editores hexadecimales gratuitos en la red, no obstante 
haremos uso del editor hexadecimal que viene integrado en Ollydbg. 


3.4.4 PE Y EDITORES DE RECURSOS 


Cada binario disefiado para ejecutarse en una máquina Windows (y Linux en su caso) 
tiene una sección muy específica de los datos al inicio de la misma que indica al sistema 
operativo cómo configurar e inicializar el programa. Le dice al sistema operativo la cantidad de 
memoria requerida, qué DLL de código necesita para el programa, informa sobre los cuadros de 
diálogo etc. Esta sección se conoce como "Portable Executable", y todos los programas 
disenados para funcionar en Windows deben tener uno. En el mundo de la ingeniería inversa, 
esta estructura de bytes se vuelve muy importante, ya que da al ingeniero la información 
necesaria acerca del binario. Con el tiempo, todo ingeniero inverso querrá (o necesitará) 
cambiar esta información, ya sea para hacer que el programa haga algo diferente a lo que hacía 
inicialmente, o para cambiar el programa a su estado original. Podemos encontrar PE y editores 
de recursos en: 


(Http://www.ntcore.com/exsuite.php) 
(Http://www.woodmann.com/collaborative/tools/index.php/LordPE). 























(C. XN Resource Editor - CU - [B] x| 
File Edit View Resource Help 
e IS 
j-BlgE 
About XN Resol i eg x| 
Q AM Resource Editor version 3.0.0.1 
Windows <P (Build 2600: Service Pack 2] 
Copyright E Colin Wilson 2005, All Rights Reserved 
Support ` hitpz/ venena. walsonc. demon. ca. uk "delphi. htm 
This product is licensed to: 
prueba 
Physical Memory Available to Windows: 267.616 KB 
LK | 
| T 
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3.4.5 HERRAMIENTAS DE MONITORIZACION DEL SISTEMA 


Al invertir los programas, a veces es importante ver los cambios que una aplicación 
hacen en el sistema (especialmente cuando se analizan virus y malware); ¿Existen claves de 
registro creadas o consultadas? ¿Se han creado archivos .ini? ¿Se crearon procesos separados, 
tal vez para frustrar la ingeniería inversa de la aplicación? 


Ejemplos de herramientas de monitorización del sistema son procmon, RegShot. 


3.4.6 HERRAMIENTAS E INFORMACIÓN MISCELÁNEOS 


Existen herramientas que se irán usando por el camino, como scripts, 
desempaquetadores, identificadores de empaquetadores etc. También se hará referencia a la API 
de Windows. Ello es extremadamente útil a la hora de estudiar las llamadas de las funciones 
CALL. 
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Capitulo 4 


INTRODUCCION A OLLYDBG 





4.1 ¿Qué es Ollydbg? 


Del autor, Oleh Yuschuk, OllyDbg es un depurador de código ensamblador de 32 bits 
para sistemas operativos Microsoft Windows. Pone especial énfasis en el análisis del código 
binario, esto lo hace muy util cuando no está disponible el código fuente del programa. Además 
traza registros, reconoce procedimientos, llama a las API’s, swiches, tablas, constantes y strings 
y localiza rutinas de archivos objeto y de bibliotecas. 


4.2 Visión general 


Descargamos la aplicación de la página oficial, http://www.ollydbg.de/, 
descomprimimos el fichero y lo guardamos preferiblemente en C^ 


El contenido de la carpeta puede variar dependiendo de las distintas utilidades que se 


hayan instalado. Más adelante se describirá como añadir plugins a la aplicación. Para abrir la 
aplicación hacemos doble clic en OLLYDBG. 
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De odbg110 


Archivo Edición Wer Favoritos Herramientas Ayuda 


Dirección ||) C:yodbgi 10 


he see | dbghelp.dll license 
Tareas de archivo y carpeta ` ` 6.8.4.0 Docümente dà fexta 


Windows Image Helper : 4 KB 


a Crear nueva carpeta 


ech Publicar esta carpeta en web WIM3Z | all«dbg 


t tir est E Archivo de Ayuda Opciones de configuración 
ompartir esta carpeta | 24 224 KB LEE 


OLLYDBG 


CEES Archivo de Ayuda 


Otros sitios cerezas 
SER GllvDbg, 32-bit analysing deb... 280 KB 


eee Disco local (Cs) 


Mis documentos | readme register 
| Documento de texto Documenta de texto 


KH Documentos compartidos 3 KB | 2e kB 


Y MiPC 


vz ci reverseMe.udd 
KI Pisos: desen Archivo LIDD | canyou.dll 


S kB 


Detalles 

BOOKMARK, DLL | Cmdline. dll 
odbg110 | 
Carpeta de archiwos 


Fecha de modificación: jueves, 09 de 
julio de 2015, 21:27 





Al abrir Ollydbg y seleccionar el ejecutable Tutorial.exe, aparecerá en pantalla una ventana 
dividida en cuatro secciones: 


1. Desensamblador 
. Los registros 


. La Pila o Stack 
. Dump 


AUN 







g - Tutorial.exe - [CPU - main thread, module Tutorial] 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> m [8| xi 


«xj d 















^ 
^ 
^ 
A 
^ 
^A 
A 
e^ 
A 
A 


a" pModule = NULL 
ES CFa2aaaoa 



























































































































GetModu LeHand eR 
ÉS SS GALL ConPukkernelS2-GetCohmendlineA> — |CGetComnandLinen E 
a iet Command inel zzrGustenCallRe 
6A 8n SH GA Ar = OOBDOBOA E e ntdll.KiFastSystemCallRet 
FF35 20304000 =| PUSH DWORD PTR DS: [403020] Ar aaaaaoaa ES EFCA 
Arg? = Gmanaana EBP OBÍSFFFO 
FF35 28304000 | PUSH DWORD PTR_DS: (4930281 Aral = BARBARO pup usd. REC ISTR 
ES Geoopoog Tutorial. 08461020 EDI ntdll.7t ASIA N\A) 
50 PUSH EAX Es itCode = @ Sg 
ES 9EB20000 CALL Ex itProcess EIP 00401000 Tutorial.<ModuleEntryPoint> 
55 ERRE CO ES 0023 32bit BLFFFFFFFF) 
, Pi CS o jit B(FFFFFFFF) 
ADD ESP,-54 2S =| S; d EN © P1 e it 8 
39090000) HOU DE: EN YAN MBEAD; JR. ee EE 
GE x S 003B 32bit 7FFDFOBBLFFF) 
06909988 H d GS 6666 NULL 
Tutorial: «Hec luEneruPo Int 0 & LastErr ERROR NO IMPERSONRTION TOKEN (09090510) 
P kernel32. ?C816D4F EFL 88888246 (NO,NB,E,BE, NS, PE, GE, LE) 
10000009 STA -UNORM B97C 01050104 GaOananao 
69304000 : ASCII "MyMenu” i UNORN B9?C 01050104 aaaaaaoaa 
C745 FB 00364000 : ASCII "DLGCLASS” 
68 BO7FO0BB PUSH "Fo RercHame = IDI_APPLICATION 
6A 88 PUSH o IS st = NULL 
ES aca2eaaa LoadIconR 
8945 ES nou 
8945 FC nou + 
68 GëcEooog PUSH "Fo RercName = IDC_ARROW j ESPUOZDI 
6A 60 PUSH o [inse - NULL C Err82008808 (GT) 
ES F4010008 LoadCursorR Mask 13 1 1 1 1 
8945 EC nou E^ 
8045 DØ LEA ERX, 
50 PUSH EAX (panes lassEx = NULL 
ES 4F020000 CInitCommonControls 
6A 60 PUSH à lParam = @ 
6A 88 PUSH à pDl = NULL 
6A 60 PUSH à hOw NULL 
68 16304000 PUSH Tutorial.00403010 pTemplate = "MyDialog” 
FF3S 28304000 | PUSH DWORD PTR DS:[463028] 00 |fhinst = NULL — 
RETURN else. 7C816D4F 
1 ntdll.: EJ 
a H 
al a 
EE PILA 
a a - 
2 I End of SEH chain yr 
S E DUMP: SE handler —» 
o o kerne 8 
a a 
Tutorial.<ModuleEntryPoint > 
b ud 
D 
Command | 
Analysing Tutorial: 3 heuristical procedures, 30 calls to known, 1 call to guessed functions | 
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4.2.1 Desensamblador 


Esta ventana contiene el desensamblaje principal del código binario. Aquí es donde Olly 
muestra información acerca del binario, incluyendo los códigos de operación (opcodes) y la 
traducción del lenguaje ensamblador. La primera columna es la dirección en memoria de la 
instrucción. La segunda columna corresponde a los opcodes. Cada instrucción tiene al menos un 
código asociado a él (muchos tienen múltiples).Este es el código que la CPU necesita para 
poder leer la aplicación. Estos códigos de operación constituyen el "lenguaje de la máquina". Si 
se quiere ver los datos en bruto de en un binario (utilizando un editor hexadecimal), solo se 
obtendrá una cadena de estos códigos de operación. Uno de los principales trabajos de Olly es 
desensamblar el "lenguaje de la máquina" en un lenguaje ensamblador más legible para el ser 
humano. En la tercera columna está el lenguaje ensamblador. Aunque a simple vista no parece 
que se haya obtenido una mejora en cuanto a su ilegibilidad, en conjunto ofrece mucho más 
datos que el código original. En la áltima columna Olly muestra los comentarios asociados a 
una determinada línea de código. A veces, este contiene los nombres de las llamadas a la API (si 
Olly puede descifrarlos) como CreateWindow y GetDigltemX. Olly también trata de ayudarnos 
a entender el código nombrando a las llamadas que no forman parte de la API con nombres de la 
ayuda. Por supuesto, éstas no son tan ütiles, pero Olly también nos permite convertirlos en 
nombres más significativos. También podemos poner nuestros propios comentarios en esta 
columna haciendo doble clic en una fila del código. Estos comentarios se pueden guardar para la 
próxima vez que se cargue la aplicación. 


4.2.2 Los Registros 


Cada CPU tiene una colección de registros, donde se guardan temporalmente valores, 
al igual que una variable en cualquier lenguaje de programación de alto nivel. A continuación se 
muestra una vista más detallada de los registros en Olly. 


` BBISFFBO 
^ FCS1EB94 ntdll.EiFastSystemCallEst 
im rEFDSBBB 


P BBISFFCA R = | 
ABISFFFO H I | 
SI FFFFFFFF E IS ros 
PCASAFSS ntdll.TCo207328 
Dal opp Tutorial.< Modu leEntryuPoint> 
23 Sobit BIFFFFFFFF) = 
| Seb it: BLFFFFFFFF) Hag 0 
23 32b1t ALFFFFFFFF] 


i S2bit BLFFFFFFFF1 


ES SE SC rFFDFaaBatFFF Banderas 


LastErr ERROR HO IMPERSOMATION_ TOREN 160666865101 
aegdnmaz4e (HO, HE, E. BE. HS, FE, GE, LEI 


^ d 
, El 
H 


Registros de punto 
flotante 


ESPII Dz O 
r He A ED os 
je MAS Hee ee 


T, 
a 


..... NM HM 
i m Im e A 


I 
H LOTI 
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En la parte superior estan los registros de la CPU. Los registros cambian de color segun 
se vaya ejecutando el código de la aplicación lo que ayuda a ver los cambios. También se puede 
cambiar el contenido de un registro haciendo doble clic sobre el mismo. 


En la sección central están las banderas o flags. La CPU utiliza las banderas para 
marcar los cambios en el código (dos números son iguales, un número es mayor que otro, etc). 
Haciendo doble clic en una de las banderas cambia su valor de “True” a “False” y viceversa. 


En la sección inferior están los FPU o Floating Point Registers. Estos se utilizan cada 
vez que la CPU realiza alguna operación aritmética con decimales. Cabe mencionar que dentro 
de la ingeniería inversa pocas veces se va a tener que recurrir a ellos, excepto cuando se utiliza 
el cifrado. 


4.2.3 La Pila o Stack 


La pila es una sección de memoria reservada para el binario como una lista "temporal" 
de los datos. Estos datos incluyen punteros a direcciones en la memoria, las cadenas, los 
marcadores, y lo más importante, las direcciones a las que tiene que regresar el código cuando 
hace una llamada a una función. Cuando un método en un programa llama a otro método, el 
controlador necesita estar desplazado hacia ese nuevo método para que pueda regresar. La CPU 
debe realizar un seguimiento del nuevo método de manera que al finalizarlo pueda regresar al 
lugar donde fue llamado y continuar así ejecutando el código después de la llamada. La pila es 
por tanto el lugar donde la CPU mantiene la dirección de retorno. 


Una de las características de la pila es que sigue la estructura "First In, Last Out". 
Podemos compararlo con una pila de platos en una cafetería. Cuando se empuja ( push) un plato 
en la parte superior, todas los platos debajo son empujados hacia abajo. Cuando se quita ( pop) 
un plato de la parte superior, todos los platos que estaban debajo suben un nivel. 


La siguiente imagen representa la pila en Olly. En la primera columna aparecen las 
direcciones de cada miembro de datos, la segunda columna es la representación hexadecimal de 
los datos de 32-bit, y en la última columna Olly muestra los comentarios de aquellos datos de 
los que posee alguna información. En la primera fila por ejemplo, se puede ver el comentario 
"RETURN to kernel ...". Esta dirección, que la CPU ha colocado en la pila, servirá como punto 
de referencia al cual habrá que regresar cuando la función haya finalizado. 


rLs1604F — 


SES 
DI 2EELL 
agisFrD8 
Ba13FFDS 
13FFDC 
13FFEH 
13 
13 
| BEER 


ml 
zu I 
vele 
à or 

= 
= 
a 
obt 


OO OO 
] T1 71 
TI TI 
ITI ITI 
100 EG 


Eq 
0 CU 
TTI 
TT 
TT 
E m 


13FFFS 
18FFFC 


Hi 
Hk 
ag 
au 
He 
6413 
Ae 
Hi 
a 


rC328?738 
FFFFFFFF 
dZEEUOGGOGg 
2454S0FO 
aaAi1=SFFCS 
2111c0S5 
FFFFFFFF 


Baa 
maa 
60461006 
Baa 


ntdll. 


End of SEH chain 
SE handler 


kernels. 


Tutarial 


PCS1E05S 


» Mody LeEntryPoint > 





Otras de las características de la pila es que haciendo clic con el botón derecho se puede 
'modificar' el contenido de la misma. 
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4.2.4 Dump 


Al principio de este capítulo, cuando hablamos de los códigos de operación (opcodes) 
que la CPU lee en el interior de un binario, mencionamos que se podían ver estos datos en bruto 
con un visor hexadecimal. Pues bien, Olly incorpora un visor hexadecimal llamado “Dump *, 
que permite ver esos datos binarios en la memoria. 


En la figura siguiente podemos observar como Olly muestra estos datos en hexadecimal 
y en ASCII. La primera columna muestra la dirección en la memoria de esos datos. 


Hd ss | Hes dump I ASCII 

DO Shh OLGCLASS. HuMena. 
SISEIS EENS | | | MyOtalog.Oialog 
464483424 | D: ma 

DO SHS 

44344 

DO 208 

DAD Z2DGP 

DAP ep 

DAD 20Dp 

DAD 2DOp 

DO SHAR 

DO 20DDp 

DAD Z2DL D 

DO S60 

DOO20DE D 

IECH 


1: 





4.2.5 La barra de herramientas 


En la figura que se muestra a continuación aparecen marcados los iconos de la parte 
izquierda de la barra de herramientas. Todos ellos son accesibles a través del menu Debug. 


ANIMATE 
step over OVER 
STEP OUT 


PAUSE INTO ADDRESS 





Los botones a tener en cuenta son el de reinicio (RE-LOAD), que reinicia la aplicación 
para pausarla en el “Entry Point”. Durante el reinicio se borrarán todos los parches y algunos 
puntos de interrupción (breakpoints) pueden ser inhabilitados. 


Con ‘STEP IN’ se ejecuta una línea de código y después se detiene. En el caso de un 
call, hace una llamada a la función si es que existe. 


“STEP OVER’ hace lo mismo, pero saltando por encima de un call hacia otra función. 


http://masteracsi.ual.es/ 


‘ANIMATE INTO’ y ‘ANIMATE OVER’ hacen lo mismo que las ordenes anteriores, 
excepto que en estos casos el código se ejecuta lo suficientemente despacio para poder observar 
cómo se va ejecutando. Puede ser util en los binomios polimórficos. 


En la parte derecha de la barra de herramientas tenemos los siguientes botones: 


BREAKPOINTS 


SETTINGS 





| I | pem | 

THREADS |CPU CALL 
SS éieren SE Ende 
XECUTABLE HANDLES Tru 
MODULES REFERENCES COLORS 





Cada uno de estos botones abre una ventana nueva con el contenido que veremos a 
continuación. Podemos acceder a cualquier ventana de esta parte de la barra de herramientas a 
través del menú, haciendo clic en ‘View’. 


La ventana Log data no necesita mayor explicación. En este caso en particular se puede 
apreciar los errores que encontró Olly a la hora de ejecutar el plugin IDAFicator. 


Atos data ——— nis 
















OllyObg v1.18 
Analyze Thist plugin v8.1 umm 
Copyright (C) 2664 Joe Stewart um 
ASCIITable 1.1 plug-in bu REACTLON Uu 
CommandBar v3.28.11H8 mum 
Original Written by Oleh Yuschuk Modified by Gig: 
ERROR (i IDHFicataor] uem 
-Lan't get RHDHSHM directory path, ROTE won't b: 
ERROR (IDBFicator! d 
-Lan't get HELP directory path, no help will b: 
ERROR (IDHFicator] ud 
-Lan't find correct path to either RAEdit.dll ==: 
ERROR (LIDBHFicataor] uus 
-DDBGScript not found (Run script and Open ser: - 

IDHF icator 2.80.11.45 od 
HiIOAFicator plugin for ülludba 1.18 By zZooliind > 

Hi Www, ATARE. cam m 
HnemonicHelp Plug-in by Sere oed 
Breakpoint Manager Plug-in compiled on Apr 4 2885 
Copyright [cl 2665 Pedram Amini <paninitidefen=e. 


File 'Ci«Dacuments and Settinas-usuario-HMis documen 
Heu process with 10 Dppgpl2pg created (E 
Hain thread with ID 6666644 created uu 
Module C:Documents and Settinas-usuaric-HMizs docume | 
Module C: -WIHDCOlS-sustema32z-coamctls32.dll m 
Module C: WIHDCOlS-auztems3z-HIsERS2Z.dLll 
CRC chanaed, discardina .udd data 

Module C: -WIHDCOlS-asuztemsz-HDUagPISz.dll 
Module C: WIHDOlS-auztems3z-RPCRTA.dLll 
Mody le Cz:WIMDOluS-sustems2-adis2.dll 
Module C: -WIMDCOlS-suztems2z-kernelas3z.dll 
Module C: -WIHDCOlS-sustems2z-ntdll.dll 
Program entry point 


46401000 
DAD 
Sor alg 
COLA 


FORA 
CEO 
rerEFaana 
PCEBRERE 
DSCHISISISIS 
10481 4 
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Executable modules | 


File Version 











DAD 
GDL SHEER 
OLEA 
FORA 
rr ESHGH 
rrEFamaa 
rcs 
rU 10a 


La siguiente ventana muestra los módulos ejecutables. 








Em] 


BABES Ada 
Ham aud 
BEE IER 
DIOU ama 
Ham 1 uad 
5/5/55 115/5]5] 
60101000 
Badges 


44441 Ah 
GDL 22210 
YrOU2hEBS 
rr DAY eos 
rresecs4 
rrEFeSCH 
TCEBB436 
rea23156 





Tutorial 
comet Lae 
USERS2 
ADWAPIS2 
RFCRT a 
adi3z 
kerne Lae 
ntdll 


D, Dä [psp Spe. 
E. 1. 2608. 2180 
C. 1., 2606, 2186 
C. 1. 26608. 2186 
C. 1. 26608. 2180 
5. 1. 26608. 2180 
C. 1., 2606, 2180 








== m, m, m, = 










C:Documents and Settings-usu 
C: “WINDOWS sy stems2™comet 132 
Ct WINDOWS sy stems2™USERS2. d 
Ce =WINDOWS sy otems2™ADUAPI Se 
CG: =WINDOWS sy stenmS2sRPERTA. d 
C: WINDOWS sy stemse™gdisz.dl 
C: WIPMDO]lS-asuztemsz-kernels32z.dll 
Ce “WINDOWS sy stense=ntdll.dl 





L 


ae 








Address. 
AGG 1 Be 
DDD2DD0DD 
FRESE 
AL SOB 
HL SERRE 
Eia ada 
Ei 1 SoG 
DD ace 
Bere 
Eier 7 eaa 
all] 
Elea 
FESS ARE 
Bissau 
Baassaaaa 
DD2ODDDD 
HASA GAHA 
pd 60008 
aadad ana 
Ead 
sieisen] 
aadadara 
Baq 1 aaa 
Eae 
AE4+E RRR 
DDEE ata 
pet Md 51555 
GeCs1 000 
SSCA eae 
SCA aa 
5 [515] 
de LDDDp 
Troiisee 
Tro; eee 
Trorzeee 
rr LI spada 
slats [ss] 
TDA ee 
dE LGDDp 
TrEl Boos 
Tre47 G66 
rrE5BEBEBEB 
ER IDGOp 
TrEDshae 
Eegen 
4 






En la ventana ‘Memory’ se puede visualizar todos los bloques de la memoria que el 
programa tiene asignado. Incluye una sección principal de la aplicación que se está ejecutando. 
También podemos observar un listado de todos los DLL's que el programa ha cargado en la 
memoria para usarlos cuando sea necesario. Si hacemos clic en cualquiera de las lineas se abrirá 
la ventana Dump con todo el contenido de esa línea. Finalmente, podemos ver el tipo de bloque, 
los permisos de acceso, el tamaño y la dirección de la memoria donde cada sección ha sido 
cargada. 


Size 
si Bee 
AGE AHH 
AGE 1 aca 
BEBE AAH 
pai ana 
DDDD'2DDD 
Ea EE 
DDDDGDDD 
DDDD'2DDD 
DD LEGG 
BASANA 
Egg 1 a8 
EIE ac 
EIE 1 aoe 
AGE aba 
DDDDADDD 
Ec Sada 
E] AHH 
DDDD 1 aa 
BEGG 1 aoe 
ABBE 1 AAA 
BEGG 1 aa 
EE EE] 
HAHAAHA 
Baias 
DDD2EGDDp 
ABE 1 aoe 
BEG; eaa 
DDDD'2DDD 
BG 1 F ead 
DDDDDDD 
DDDD add 
DDDEE e 
pecia ana 
aaaszpaaa 
DDDDZ2DDD 
BEBE AAH 
Bam [55] 
DDDDEDDD 
Eze 
pamm ama 


Owner 


Tutorial 
Tutorial 
Tutorial 
Tutorial 
Tutorial 


camer Loe 
comer Lae 
comet 32 
comet |S 
camer L32 
USERS2 
USERS2 
USERSZ 
USERS2 
USERS2 
AONAPISZ 
AOLNAPISZ2 
AOWAPIS2 
AONAPISZ 
AONAPISZ 


Dapp RPERTA 


D 290 
DO COD 
BEBE 1 Bee 


arar d arara 


RPCRT4 
RFCRT4 
RPCRT4 


Farar^FaT a 


atent 
.rdata 
¿data 
„TSC 


atent 
¿data 
¿PSICO 
.reloc 


atent 
¿data 
¿Saro 
.re&elac 


atent 
¿data 
rere 
.reloc 


atent 
.ürpc 
¿data 


Contains 


stack of main thread 


PE header 
code 
imports 
data 
resources 


FE header 

code, imports, export s 
data 

resources 
relocations 

FE header 

code, imports, export s 
data 

resources 
relacationz 

FE header 

code, imports, exports 
data 

resources 
relocations 

FE header 

code, imports, exports 
code 

data 





Tupe 
Frin 
Fri 
Priv 
Priv 
Fri 
Hap 

Friu 
Priv 
Hap 

Hap 

Hap 

Hap 

Hap 

Hap 

Friu 
Friu 
Hap 

Imag 
Imag 
Imag 
Imag 
Imag 
Hap 

Hap 

Hap 

Hap 

Imag 
Imag 
Imag 
Imag 
Imag 
Imag 
Imag 
Imag 
Imag 
Imag 
Imag 
Imag 
Imag 
Imag 
Imag 
Imag 
Imag 
Imag 
Imag 





amna2 1884 
46421064 
Ban 184 
amna211]4 
46421104 
46041062 
Abe? 1 Bes 
ama 15884 
46041064 
06641062 
a6641062 
460841062 
Bam 18052 
ABE41 B82 
46021064 
46021064 
AbE41 B82 
1081062 
4106810862 
a1601062 
81861882 
41081062 
Bana 1028 
amna4d1ao028 
46041062 
Bam 1828 
a16601062 
41081062 
410681062 
a1601062 
a1601062 
410681062 
10681062 
a16601062 
41081062 
10681062 
a1661062 
41081062 
410681062 
a1601062 
a1601062 
410681062 
a1601062 
a1661062 
Slee lage 


rad rara 





Access 


Pil 


ID 2 2D 0 00 20 20 20 0 90 50 20 20 2D 90 90 20 2D 0 0 30 0 0 20 30 0 0 0 


Section 


m mm 


JI x| 


- 


Initial access] Mapped as 





R 
Guarded Eh 
Guarded El 


“Dew ice Harddisklo 
E “Dew ice Harddisk Wo 
H Dev i ceHarddisk luo 
H Dev i ce HarddislE lUo 


R “Dew ice Harddisklo 


El contenido de las ventanas restantes se irá viendo según vayamos progresando en la 
resolución de los casos prácticos. 
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4.2.6 El ment contextual 


Para acceder al ment contextual, hacemos clic con el botón derecho en el área del 
desensamblador. Veremos el significado de la mayoría de los comandos en la sección de casos 
prácticos. Sefialar aquí que el contenido del menü contextual puede variar dependiendo de los 
plugins que hayamos instalado. 


Backup » 
Copy d 
Binary + 
Assemble Space 
Label 

Comment i 
Breakpoint k 
Hit trace + 
Run trace + 
0 Eo + 
Fallow in Dump k 
view call tree Chrltk 
Search For » 
Find references Eo + 
VIEW V 
Copy to executable » 
Analysis d 


Help on symbolic name Ctrl+F1 


Analyze This! 

ID AFicator + 
? 

Appearance d 
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Capitulo 5 


OLLYDBG (I) 





5.1 Cargando una aplicación 


Para cargar un binario en Olly basta con hacer clic en la carpeta, seleccionar el destino y 
hacer doble clic en el ejecutable. 


Olly hará un análisis del binario y parará en el ‘Entry Point’ (EP). 


De la primera columna podemos observar que el EP está en la dirección 401000. Para 
ejecutables que no hayan sido empaquetados u ofuscados, esta será el punto de partida estándar. 





OllyDbg - FirstProgram.exe - [CPU - main thread, module FirstPro] 
cl File View Debug Plugins Options Window Help Tools BreakPoint-> 
m déi X| KI "t end ali oa 
GH D PUSH & 


ES LFH2ZEBEHBE 
H3 ¿o MOL OWORO PTR OS: [443425], EAA 


ES EFE 


























4441 iiz 
also Tus 
Ae E 









ek: HAN 6H HA PUSH HH 
ei: 1813 FF35 254444 PUSH OWORO PTR DS: E483820 ] 
ali 1819 eH BB PUSH & 


Cargando el binario FirstProgram.exe 
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Lo primero que haremos es mirar el espacio que el programa ocupa en la memoria. Para 
ello pulsamos sobre el icono 'M'. 


De la primera columna podemos observar que la dirección 401000 es de 1000 bytes; el 
nombre del propietario es *FirstPro"; el nombre de la sección que contiene el código es “.text”. 


GER 





















Address | Size Owner Section | Contains Type Access Initial acces=/ Mapped as P 
666816666) 66661406 Priv Baid Rl Rl 
meam | AHAH 1 HAH Priv Bald Fl Fl 
miam | AHAH 1 HAH Priv 66621404 Fl Fl 
6610666) AHAH 1 HAH Priv BeB21 ld RU Guarded Fl 
661 ZE ez stack of main thread Priv Beb21 ied Rll Guarded Rl 
660140066) ees Map | 6641642 KE KE 
660150066) Dapp Priv Baid Rl Rl 
He2S ERR) DG DD Friu Bz ibäd4 Rl Rl 
pazéebnp DD 2000 Map | 6641644 bid bid 
paz ogg 46615044 Map ` Dpp4lDGD2 R R *[Deuice*Harddiskl 
pap DG 200 Map | 6641642 R R *[euice*-Harddiskl 
562044668) 660841000 Map  BmBmdlBhag2 R R “Dew ice -Hardd i skU 
6520066) AHAHEHAH Map || 6641642 R R Dev ice Harddisk 
65306866) 666414000 Map || 664162 R R 
massima 66601400 Priv Bid Rl Rl 
mass | iere d eene Priv Babes iid Rl Rl 
HUDD, DG Se Map ` DggdlDG2 KE KE “Dew ice Harddisk 
rire baa eee) FiretProa PE header Imag 61661642 KE RUE 
Imag 61661642 KE RWE 
444420484 | BERL) F irstPro |.rdata imports Imaa 61661662 R RWE 
46443466) FERRIER) FirstPro |. data data Imag 41661642 RE RWE 
HAD: Hhhh HHH | FirsetPro |.rsrc resources Imag 41641642 R RWE 
66416868) HAHAHAAH Map  &HBBdilbB2H RE RE 
668406066) elegia Map | 6641024 RE RE 
6646666) ea] aaa Map ` 6664162 R R 
DEE amma easdem Map | 6641624 RE RE 
555>36666/| 66661 BRS) comot 32 FE header Imag 61661462 R RIE 
530310666) DDR comet L52 |.text code, imports, exports Imag 6106162 KE RUE 
5SLCHiBma,|wdadazaagscomcti3z |.data data Imag 6166162 KE RUE 
53594666) SERIF RRR) comet L52 | .rsrc resources Imag 61661642 KE RUE 
ESCCSHE4| addas comet 132 | .reloc relocations Imag 61061462 KE RUE 
016666) 46661 4446 | USERSS PE header Imag 61661642 RE RUE 
TrYD1i1iBmBa3B8|mnaad5riamga|LSER32Z „tent code, imports, export = Imag 41641642 R RWE 
deep BIgdazaaag USERSS .data data Imag 416614642 RE RUE 
7rO0r20686| maa2zBgagaLSER32Z rere resources Imag 41641642 R RWE 
d CDU Feaeshee| USERSS .reloc relocations Imag 61661442 R RIE 
d CDD egg bee) AVAF ISZ FE header Imag 6166162 R RIE 
FDA 1666) aum sam | AVAF ISZ |. text code, imports, exports Imag 6166162 R RIE 
T?ElGBma DDDDEDpp AVAF ISZ | data data Imag 61661442 R RIE 
CELB bras CaBa| AONAPIS2 |.rsrc resources Imag 6166162 KE RUE 
CEA cp aiagasaagagBDuUuBPISz |.reloc relocations Imag 61061642 KE RWE 
TES) mda RPCRT4 FE header Imag 61061642 KE RWE 
EE Log DGO22pp0p RPCRT4 .tent code, imports, export s Imag Biel R RWE 
GEI | anuacuan RPERT4 | ‘ope | code Imag B1801802 |R FUE : 
4 k E 


Una de las secciones más importantes es "PE Header". Podemos compararlo con un 
manual de instrucciones para Windows en el que se especifican los pasos necesarios para cargar 
el programa en la memoria, la cantidad de espacio que necesita para funcionar, etc. Se sitúa en 
la cabecera de casi cualquier ejecutable. 


Más abajo aparecen archivos distintos al de nuestra aplicación FirstPro, como por 
ejemplo comctl32, gdi32, kernel32 etc. Estos son los archivos DLL que nuestra aplicación 
necesita para funcionar. Un archivo DLL (Dynamic-Link Library) es una colección de 
funciones que nuestro programa puede llamar y que han sido proporcionados por Windows (u 
otro programa). Su función es abrir los cuadros de texto, la comparación de secuencias, la 
creación de ventanas y similares. El conjunto de estos archivos se conoce como API 
(Application Programming Interface) de Windows. La razón por la cual los programas utilizan 
estas funciones es para facilitar al programador la tarea de escribir miles de líneas de código 
cada vez que quiera mostrar por ejemplo una ventana. En su lugar, Windows proporciona una 
función como CreateWindow. 


Cuando Windows carga nuestro ejecutable en la memoria, comprueba la cabecera “PE 
Header”, lee los nombres de las DLLs y sus funciones asociadas, luego carga estas funciones en 
el espacio que la memoria tiene asignada para ellos. Si queremos ver exactamente que funciones 
son llamadas por nuestro programa, hacemos clic con el botón derecho en el desensamblador de 
Olly y seleccionamos "Search for" -> "All intermodular calls". 
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Found intermodular calls l 


Address | Disassembly 


64681662) CALL JAF. ¿kecne 132. GetHodu LeHan 
64681668 CALL <JNF.&kerne lS2.GetCommandci 
6644481627] CALL JHF. kerne LS2. Ex itProcess > 
64162) MOL CLOCAL. 12], 38 

280 ser32.LoadI con 


HA Fr) CALL .JHMHP 
66401059 
66401095 
Ead mim] 
6464010B4 
66401603 
Häq4äl HEZ S 
Be4616F 1) CALL &.JMP.&comctl32.lImaaeList Cr 
Dal IC CALL XJMHP.&usersz.LoadImaaeH- 
HA461118) CALL z.JMP.&comctl32.ImaaeList. Hd 
Be46111F) CALL z.JMP.&adis2z.Deleteübject? 
664081136) CALL CP, Busser, Sendi lgitemtes 
64441143| CALL X.JMP.&user3z.GetDlaltem- 
66441143) CALL COP, &user32.SetFacus- 
64441153| CALL TIMP. Buserse. Sh owbl im dow > 


xm mw | "o IAM ee a O A A 3 wm sl E, 





Dest inat ion 

kerne |S2. Gethody leHandleA 
kernelsz.hBetCommandL ineH 
kerne LS2.Ex itProcess 
(Initial CPU selection) 
LSERSZ.LoadIconH 

USERS2,. LoadCursorA 

USERS2. Registerl lasses 
comet lLS2. InitCommonControls 
USERSZ.CreateLialasParamH 
LUSERSZ.SendDLaltemhessaaeH 
LUSERSZ.SendDLaltemhessaaeH 
comcti3z.ImaaeList Create 
LUSERSZ.LnoadImaaeH 
comctl32.lmageList. Hdd 
gdis3z.Deleteübject 
USERSZ.SendDLlaltemhHessaaeH 
USERS2.GetOlgitem 

LISERS2. SetFocus 
USERSZ.Shawllindouw 


Lum ` 1 Les sl zs ss zs ll 3 e --.. 


Cl 


Esta ventana muestra el nombre de la DLL seguido por el nombre de la función. Por 
ejemplo, USER32.LoadlconA está en la DLL USER32 y el nombre de la función es 
LoadIconA. Esta función es la encargada de carga el icono en la esquina superior izquierda de la 


ventana. 


5.2 ejecutando una aplicación 


Para ejecutar una aplicación dentro de Olly haremos clic en Run desde el menu Debug o 
pulsamos F9. A los pocos segundos aparecerá un cuadro de texto. 


MA Dialog As Main E 


Options 


D 
| 


ll x| 





En la casilla de la esquina superior izquierda podemos ver como Olly cambio de 
"Paused" a "Running". Esto quiere decir que el programa se está ejecutando, pero dentro de 


Olly. 
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OllyDbg - FirstProgram.exe 


File view „Debug Plugins Options Window Help Tools Brea 
Pu 44 sl el] "EE al 2 


CRU -r main thread, module FirstPro 


66481406 6A Ba FUSH A 
464416842 ES CFa2zamsaa CALL 
HOU DWORD PTR DS: [462628] 


66481007 AS 22304000 
CALL <JMP.2kerne 52. GetCor 


444481 ear ES BFüazüumdm 
PUSH HA 


6468441411 GH BH 
[a dia ATS FESE 2P2RAdARA PUSH MINERA PTR ne. fdp" 































Running ` ` 






























Si ahora hacemos clic en el icono de pausa (pulsando F12, o seleccionando Debug -> 
Pause) se detendrá nuestro programa dondequiera que esté ejecutándose en la memoria. 


OllyDbg - FirstProgram.exe 


File view Econ Plugins Options Window Help Tools BreakPoint 





ES 
504424 DD 
c EE as 











FCSIEBSS 
FCIIEBSC 
FCS1EBAG 
ALSIEBAL 


5.3 Ejecutando paso a paso 


Para ejecutar el programa paso a paso hay que pulsar F8 (Step Over). El selector de 
linea se desplaza una linea hacia abajo y Olly ejecuta esa linea de instrucciones para detenerse 
en la siguiente linea. En la pila podemos ver una nueva entrada en la parte superior: 


BEEREEEE podu Le = HULL 





Be 1 SFFCS4 res1604F RETURN to kernelse. 

441 S3FFCES rLa2br3s ntdll.rc92B?38 

aaisFFCC E EE is 

Be 1 SFFOR PFFO4888 

He 1 SFFOS SHS4S0F0 

Hei SFFOS BHISFFCS 

Be 1SFFOC 21556FDAS 

641 SFFEO gli mmm End of SEH chain 

aaisFFEA TCRSISFS SE handler 

GE rLes16055 kernel22.vYC8156D58  - 
1L3EEEC RAR AAG 


4 k 


Esto es debido a la instrucción PUSH 0, que ha puesto un cero encima de la pila. Esta 
información nos viene dado por la expresión pModule 2 NULL. 


Si nos fijamos en la ventana de registros podemos observar como los registros ESP y 
EIP cambiaron de color gris a rojo. 





isters [FFU] 


EAs Bia 

ECs BaHl3FFEH 

EDK rCSiEBS4 ntdll.EiFastSustemCallRet 
EBs FFFO4h0e 

ESP BHBHl3FFCH 

EEF Hal3FFFH 

ESI FFFFFFFF 

EDI ?C92H?38 ntdll.vrC9z2H8738 


EIF 66461662 FirstPro,. 64401042 
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Cuando un registro se convierte en rojo, significa que la ultima ejecución de 
instrucciones cambió el valor de ese registro. En este caso, el registro ESP, que apunta a la 
dirección de la parte superior de la pila, se ha incrementa en uno ya que “empujamos” un nuevo 
valor a la pila. El registro EIP, que apunta a la instrucción en curso, también aumentó en dos. 
Esto se debe a que ya no estamos en la dirección 401000, sino en la dirección 401002. 


La instrucción en la que Olly se detuvo es ahora un CALL. Una instrucción CALL 
significa que queremos detenernos temporalmente en la función actual para ejecutar otra 
función. Esto es análogo a llamar a un método dentro de un lenguaje de alto nivel, por ejemplo: 


int main() 

d 

int x = 1; 

call doSomething(); 
x=x+ l; 

j 


En este código, lo primero que hacemos es igualar x a 1, después detenemos esta 
expresión lógica y en su lugar llamamos a la función doSomething(). Cuando doSomething() 
haya acabado, volveremos a reanudar nuestra expresión lógica original aumentando la x por 1. 


El mismo razonamiento podemos emplearlo en el lenguaje de ensamblado. Primero 
empujamos un cero encima de la pila y después queremos llamar una función, que en este caso 
es una función situada dentro del Kernel32.dll y con nombre GetModuleHandleA(). 


OllyDbg - FirstProgram.exe - [CPU - main thread, module FirstPro] 
[e] File View Debug Plugins Options Window Help Tools BreakPoint-> 





















[| 44| X 


5 6H BB 
|: ES CFH2BBBB 


eH "p il | > 


CALL <JMP. kerne L52, GetModu LeHandlen> |L 







pHodule = MULL 
GetHModu leHand len 


Volvemos a pulsar F8. El indicador de línea se moverá una posición hacia abajo, el 
registro EIP permanecerá rojo y aumentará su valor en 5 bytes, que coincide con la longitud de 
la instrucción. La pila regresará de vuelta a su valor original. 


Lo que aquí ocurrió es que al presionar F8, que significa "Step-Over", se ejecutó el 
código dentro de la llamada call y Olly se detuvo en la siguiente línea. Ahora, en el interior de 
esta llamada el programa podría haber hecho cualquier cosa, pero nosotros hemos pasado por 
encima de la misma. 


Para ver el funcionamiento de la otra opción, reiniciamos el programa, y pulsamos F8 


para saltar por encima de la primera instrucción y F7 cuando llegamos a la instrucción CALL. 
En esta ocasión la ventana tiene el siguiente aspecto: 
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OllyDbg - FirstProgram.exe - [CPU - main thread, module FirstPro] 
[e] File View Debug Plugins Options Window Help Tools BreakPoint- 


gr 44 x| KI äi elis] o =| 50" 


He4612B2 FF25 482840048 DWORD OS: [£&u ser32. SetFocus? ] USERS2. SetFocus m 
Ema4ad1zBps FF25 4C2h4604 DWORD PTR OS: C<&users2. ShowWindow?] USERS?. Showllindoaw 

He46126E $- FF25 54264664 OWORO PTR DS: [<3usec32. Trans lateHhes USERS2. Trans latehessage 

66441204 5 FF25 542046404 OWORO PTR DS:p£&user3z.lpdatelWindow  LSERS3Z. Update ndo 

Hal CA .— FF2B 26254064 OWORO PIR 05: Ci&kerne ls2.ExitProceg kecnelS2.Ex itProcess 

6646100 5 FF25 10264064 OWORD PTR OS: Ci&kerne ls2.GetCommang kecnel32, betCommandL (nen 

66441206 $- FF25 24204604 OWORO PTR DS: [<fkerne 132. GetHModulek kernel32.üGethodu LeHandleH 












6684681205 $- FF25 Bam OWORD PTR OS: 0C#&comet 132. ImagelL ist] comctl32.ImaaeList, Hdd 
He4612ES $- FF2B GC 24 DWORD PTR OS: Ce&comet L32. ImageList camctl32.1ImaaeList, Create 
Hal ZE $- FF25 As26466n OWORO PTR DS: [comot 132, Imagel ist] comctl32. ImageList_Destroay 
Hal ZEE $- FF25 642540664 OWORO PTR DS: [comet L52. InitCommo comet lise. InitCommonControals 
Hal F4 SIS DB op 

Hal ZER SIS DB op 

Hal ZE SIS DB Gg 

DÉI ZE EIS DB 44 

apqai2re | = Bb DB Ba 


A] pulsar F7 (Step-In), Olly ejecutó la instrucción CALL y se detuvo en la primera línea 
de la nueva función. Vemos como la aplicación saltó a una nueva área dentro de la memoria 
(EIP = 4012D6). Teóricamente, si seguimos paso a paso a través de estas líneas de código, 
tendríamos finalmente que volver a la declaración que nos trajo hasta aquí. Por ahora, vamos a 
reiniciar el programa y empezamos de nuevo. 


Pulsamos F8 cuatro veces y nos paramos en la siguiente línea: 






[| 44| X 


6A He 





KI ot kd a 
FLUSH El pHodule = HULL 


GetHodu LeHand Lett E 
HOU DWORD PTR DS:Lda838281,ERX El 


CALL <JMP.£kernel32, GetCommandLineAs | €GetCommandLineA 





ai 













404081 da 
4646812 ES LENZ 
Hal |}. AS 2244000 
BE4E 1H TE, ES EERZDDDn 



























64441411 » 5H BH PUSH BA Arg4 = DH 
ag4Hidi2 |. FF35 244660 PUSH DWORD PTR DS: [445420] Arg = Dn 
64681619 GH Ba PUSH El Arg2 = BD 
66468161E FFS5 28304000 Argi = Dapp 


PUSH DWORD PTR DS: [463828] 
CALL FirstPro. 60481820 


64461421 ES mean FirstPro. 04401421 


Una vez situados sobre el PUSH de la dirección 401011, pulsaremos cuatro veces F8 
para observar como la pila va creciendo hacia abajo. 


Estos cuatro números son empujados encima de la pila para ser pasados como 
parámetros a una función (la función que estamos a punto de llamar en la dirección 401021). 


Podemos verlo de forma más clara si lo transformamos a un lenguaje de alto nivel. 


int main() 


int x = 1; 
int y = 0; 
call doSomething( x, y ); 


x=x+ l; 
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Declaramos dos variables X e Y, y las pasamos a la función doSomething. La función 
doSomething hará algo con estas variables, y después devuelve el control al programa que hizo 
la llamada. La pila es una de las principales formas en que las variables pueden ser pasadas a 
una función: cada variable es insertada en la pila, la función se llama para acceder a estas 
variables, por lo general utilizando la instrucción inversa de PUSH que es POP. 


Otra forma de hacer lo mismo es poniendo las variables en los registros para ser 
llamados por la función que se situa dentro de la instrucción CALL, pero en este caso, el 
compilador de nuestro programa optó por ponerlos en la pila. 


Ahora, si pulsamos F8 una vez más, vemos que Olly se pone en modo "Running" y 
vuelve aparecer el cuadro de texto. Esto se debe a que saltamos por encima de la llamada, que 
contiene la mayor parte del código. Dentro de este CALL el código entra en un bucle a la espera 
que hagamos algo, de modo que nunca avanzaremos para situarnos después de la llamada. Para 
arreglar esto cerramos el cuadro de dialogo. Olly se detendrá inmediatamente en la siguiente 
línea después de la llamada: 


eli] eje su a] + AH 




























Bode 1G 
Go481 082 


pModyle = MULL P 
Get Mody LeHandLeH 





PUSH E [ 
MOL DWORD PTR OS: C4036251, EAS 


2 CEozpoon 
AS 28304006 
























ES EFA24664 CGet Commandl i.n eH 
6A BH PUSH op Hra4 = üammaamau 
FFSS 2364664 FUSH DWORD PTRA OS: (485620) Arg3 = Bampmaadgga 
GH Bi FUSH o Arg2 = BERR 
FF35 283084000 FUSH DWORD PTR OS: [46036028] Argi = Bö4äğðäH 





FirstPro. 86461620 
Es itCode = BH 
Ex itProcess 


ES DG 
5B 
ES *"EB2aBmBaB 










PUSH EA 
CALL &JMP.&kernel22.ExitProcess? 


Si nos fijamos ahora en la siguiente línea, veremos que estamos a punto de llamar a 
kernel32.dll -> ExitProcess. Esta es la API de Windows que finaliza una aplicación. Vemos que 
Olly ha detenido nuestra programa después de haber cerrado la ventana de dialogo, sin embargo, 
i la aplicación sigue ejecutándose ! Si ahora pulsamos F9, el programa sí terminará, y en la 
barra activa de Olly podemos leer "Terminated". 


[c] Fie View Debug Plugins Options Window Help Tools BreakPoint-> 
Terminated [| e 44] x] KU "wit $E] ali a HEN 


rE91EB95 
rC91EB9L 
TC31EBAH 
YRa1FRAI 






















LEA ESP, 
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5.4 puntos de interrupción (breakpoints) 


Los puntos de interrupción o “Breakpoints” obligan a Olly a detenerse cuando son 
alcanzados. Para poner un Breakpoint basta con hacer doble clic en el opcode. Una vez puesto el 
Breakpoint la dirección en memoria cambia al color rojo. 


6A DH PUSH El pModule = NULL 


ES CEooong CALL £JHP.&kernelS2.GetHoduleHandlens |L&etrodu LeHandlen 
AS 2583504006 HOU ONORO PTR DS: [46436237], EAS 
ES EFO20000 CALL <JMP.£kernel32.GetCommandLineA? | €GetCommandLined 








GH HA PUSH HA Hrg$ = Da 
FFSS 2Cse4e68 PUSH DWORD PTR OS: [443620] Aras = DD 
GH D PUSH & Arg2 = DD 
FFSS 233040466 PUSH DWORD PTR OS: [443423] Argi = DD 


Breakpoint en 00401011 


A la hora de detener la ejecución de una aplicación, contamos con varios tipos de 
Breakpoints. 


5.4.1 Software Breakpoint 


Un Software Breakpoint reemplaza el byte en la dirección del Breakpoint por el opcode 
OxCC, que es un int3. Se trata de una interrupción especial que indica al sistema operativo que 
un depurador desea detenerse en ese punto para hacerse con el control del programa antes de 
continuar ejecutando la instrucción. El cambio de la instrucción a OxCC, no será visible, pero 
cuando Olly llega al Breakpoint se produce una excepción y Olly atrapará la excepción para 
permitir al usuario hacer lo que él / ella desean cambiar. Si permitimos al programa que 
continue ejecutándose (ya sea pasando o saltando), el código de operación OxCC se sustituirá de 
nuevo por su valor original. 


Para poner un Software Breakpoint, podemos hacer doble clic en el opcode de la 
segunda columna, o también clic con el botón derecho sobre la línea y seleccionar Breakpoints 
-> Toggle (F2). Para quitar un Breakpoint haremos doble clic sobre la misma línea, o clic con el 
botón derecho y selecciondar Breakpoint -> Remove Software Breakpoint (F2). 


Reiniciamos de nuevo el programa y ponemos un Breakpoint en la dirección 401011. 
Desde el “Entry Point" pulsamos F9 o run, y el programa empezará a ejecutarse hasta llegar al 
Breakpoint, donde se detendrá. 


Si queremos visualizar todos los Breakpoints que hemos puesto, pulsamos obre el botón 
“Br” en la barra de herramientas o seleccionamos “View” -> “Breakpoints”. 


Breakpoints E - [B] x| 
Address |Hedule Act ive Disassembly Comment al 
BH461611) FirstPro| Always PUSH HA P 


5.4.2 Hardware Breakpoints 
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Un hardware Breakpoint utiliza los registros depuradores de la CPU. Hay 8 de estos 
registros incorporados en la CPU, RO-R7. A pesar de que hay 8 integrados en el chip, sólo 
podemos usar cuatro de ellos. Estos pueden ser usados para detener la lectura, escritura o 
ejecución de una sección en la memoria. La diferencia entre el hardware y el software 
Breakpoint es que el hardware BP no cambia la memoria del procesador, de forma que es más 
fiable, especialmente en los programas que están empaquetados o protegidos. Los hardware 
Breakpoints se ponen haciendo clic con el botón derecho sobre la línea deseada y seleccionando 
"Breakpoint" -> “Hardware, on execution”: 


"am" "um "um" "um" "um" "um 














p lazaz] Aros - BB 
Sea e UH 
Cu + Argi = 
PY FiestPro, Ban 
Binary’ + En itCode = @ 
Ex itFrocess 
Assemble Space 
Label 
Comment ; 
Breakpoint Togale Fz 
Hit trace k Conditional Shift-+F2 
Run trace k Conditional log Shift-+F4 
E Run En selection F4 
Mew origin here Ctrl+Gray * 
o bo + Memory, on access 
Follow in Dump k Memory, on write 
View call tree Ckri-K 
Search Far k 
Find references to | plindClassEx = 
RegisterClass 
Vig d | ED E EE 
Copy to executable + pO lsProc = MU 
j | illuuner = 
Analysis d EE 
hInst = NULL 
Analyze This! CreateDialogP 
IDAFicator d 


Param = 14 
lessage - Wh 


Pm D |! Tr 


[Param = @ 
| 


Appearance 


5.4.3 Memory Breakpoints 


A veces se puede encontrar una cadena o una constante en la memoria del programa, sin 
saber desde que parte del programa se puede acceder a ello. Estableciendo un memory 
Breakpoint le decimos a Olly que se detenga cada vez que una instrucción lee o escribe en esa 
dirección de memoria (o grupos de direcciones). Hay tres formas de seleccionar un memory 
Breakpoint: 


» Para una instrucción determinada, haciendo clic en la línea deseada y seleccionando 
"Breakpoint" -> “Memory, On Access" o “Memory, On Write". 


> Para establecer un Breakpoint en una dirección situada en la memoria dump, resaltamos 


uno o más bytes en el dump, hacemos clic con el botón derecho y seleccionamos la 
misma opción que en el caso anterior. 


http://masteracsi.ual.es/ 


» También se puede establecer un Breakpoint para toda una sección de la memoria. Desde 
la ventana de memoria (icono "M" o “View” -> “Memory”), haciendo clic con el botón 
derecho en la sección de la memoria deseada, y seleccionando con el botón derecho 
"Set memory break on access" o “Set memory break on write". 


Actualize 

Dump in CPL 

Dump 

Search Chip 


Set break-on-access Fz 





Sel access d 


Copy to clipboard k 
Sort by k 
Appearance + 


5.5 Utilizando el panel Dump 


El panel Dump se puede utilizar para inspeccionar el contenido de cualquier posición en 
memoria dentro del espacio de memoria del depurador. Si una instrucción en la ventana de 
desensamblaje, un registro, o cualquier elemento de la pila contiene una referencia a una 
posición en la memoria, podemos hacer clic con el botón derecho en la referencia y seleccionar 
"Follow in Dump" y el panel Dump mostrará la sección que corresponde a esa dirección. 
También podemos hacer clic con el botón derecho en cualquier lugar del panel Dump y 
seleccionar "Go To" para introducir la dirección que deseamos ver. 


Cargamos nuestro FirstProgram.exe y comprobamos que se ha detenido en el “Entry 
Point". A continuación presionamos F8 ocho veces hasta llegar a la instrucción correspondiente 
a la dirección 401021 que dice CALL FirstPro.40102C. Si nos fijamos en esta línea, nos 
daremos cuenta de que este CALL va a saltar a la dirección 40102C, que se sitáa 3 líneas por 
debajo de donde estamos actualmente. Pulsamos F7 para coger el salto y situarnos en 40102C. 
Recordemos que al tratarse de una instrucción CALL, volveremos a regresar a la dirección 
401021 (o al menos a la instrucción siguiente). 
















44 X| KU "€t iS 
CPU - main thread, module FirstPro y - [B] > 


46481006 GH BB PUSH B podu Le = MULL 
Bm4aiBsg2 ||. ES CFO20060 Get Modu leHandleA 
AR HOW OWORO PTR OS: [443625], EAs 





ai 





























H3 258304060 


ES BFHzkabb C aet CommandL (nen — 
















16 
1n 
345818 GH BA PUSH HA Ara4 = maman 
4418 FFSS 2Cse4o68 PUSH OWORO PTR DS: [445420] Arg? = DEI 
18 GH n PUSH Hraz = DD 
16 FFS5 228304066 PUSH DWORD PTR DS: [4683628] Argl = DHA 
1n; ES meamanaa FirstPro, 66461620 
Ae EE Es itCode = 151EEHA 







n d m mn nu oeu-l 


PUSH EAX 
CALL 


PUSH EBP 
HOW EPP, ESP 


ES SEBZaammid 
55 


: Ex itProcess 
220 F SBEC 


Seguimos pulsando (F8) hasta llegar a la dirección 401062. 
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ASCII "Mulher?" 
ASCII "OLGCLASS" 


MOLI 
MOLI 
MOLI 


C745 Fa 10006600 
C745 Ed 69304800 
Cr45 FS Bmnsm4mnan 














En esta línea la instrucción es: MOV [LOCAL.3], FirstPro.00403009. De acuerdo al 
lenguaje ensamblador, esta instrucción mueve el contenido de la dirección 00403009 a la pila 
(lo que Olly identifica como LOCAL.3). En la columna de los comentarios se puede ver lo que 
Olly ha descubierto en esta dirección: la cadena ASCII "MyMenu". A continuación hacemos 
clic con el botón derecho en la instrucción y seleccionamos "Follow in Dump". 










hInst = HULL 
Go to " | | LoadCursorH 
Follow in Dump Selection 
View call tree ctrl+E Immediate constant 


Memory address 
Search For b 


Seleccionamos "Immediate constant". Esto cargará cualquier dirección afectada por la 
instrucción. Si hubiéramos elegido "Selection", la ventana Dump habría mostrado la dirección 
de la línea resaltada, en este caso 401062 (la linea en la que nos detuvimos). Estaríamos viendo 
en el dump lo que ya hemos visto en la ventana de desensamblado. Por ültimo, si habríamos 
elegido "Memory address", la ventana Dump mostraría la memoria para LOCAL.3. En efecto, 
mostraría la memoria en la cual se encuentran las variables locales dentro de la pila. 


cc GH Jun 


kN) Tí 
GIEL 


HuHenu. inet 
B ais As Hain. 


dun gd Ù 
m d TSH SI 
Tin E Ù 


d 
ETET 
48: 
at 
AG 
48: 
at 
de 
a 
44 
"t 
4B: 
at 


au 
He 
a 
au 
GI 
DG 
D 
Hp 
DG 
au 
He 
a 
4 





Como se puede ver, el dump muestra ahora la memoria a partir de la dirección 403009, 
lugar en el que Olly cargó la cadena ASCII. A la derecha, se puede ver la cadena, "MyMenu". A 
la izquierda tenemos la interpretación hexadecimal de cada carácter que conforma la cadena 
ASCII. Las cadenas siguientes se utilizaran en otras partes del programa. 
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Capitulo 6 


OLLYDBG(ID 





6.1 ;QUÉ son los DLL? 


Los DLL (Dynamic Link Libraries) son colecciones de funciones, por lo general 
proporcionados por Windows, que contienen las funciones que se utilizan de forma recurrente 
en los programas de Windows. Estas funciones hacen que sea más fácil para los programadores 
realizar lo que de otro modo serían, tediosas tareas repetitivas. 


6.2 ¿CÓMO se usan los DLL? 


La primera vez que ejecutamos una aplicación, el cargador de Windows comprueba una 
sección especial del PE Header para ver qué funciones son llamadas por la aplicación 
y cuál es su lugar dentro de los DLL. Después de cargar la aplicación en la memoria, itera a 
través de estos archivos DLL y carga cada uno en el espacio de la memoria. A continuación, 
pasará a través de todo el código de la aplicación inyectando la dirección correcta de las 
funciones DLL. Por ejemplo, si una de las primeras llamadas es convertir un buffer de letras a 
mayúsculas, llamando StrToUpper en la DLL kernel32, el cargador encontrará el lugar donde la 
DLL kernel32 está cargada, buscará la dirección de la función StrToUpper, e inyectará esa 
dirección en las líneas de código de la aplicación que llamó a esa función. La aplicación llamará 
a continuación al espacio en la memoria donde reside la DLL kernel32 para ejecutar la función 
StrToUpper, y luego regresará de nuevo al programa. 


Veámoslo en un ejemplo práctico. Cargamos el programa FirstProgram.exe en Olly. La 
aplicación se detendrá en la primera línea de código, el Entry Point. 
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OllyDbg - FirstProgram.exe - [CPU - main thread, module FirstPro] 





GISEISAIEEA 
664414826 
Be461827 
66441482 
6644816820 
BE46162F 
66441432 
p6dA1033 
66481044 
pbadaladr 
6648104E 
664481655 
66441055 
664481465B 
BE461862 
664810629 
pada107ra 
Be4e1875 
Radha? 
BE4e187C 
BA48187F 
BE46 1882 


>| il 


BH Hh 

ES CFüazanan 
AS 29304606 
ES BFa2anaad 
GH HA 

FFS5 2c3B4msna 
GH BB 

FF35 28304064 
ES mena 


5B 
ES SEB20006 


55 
SBEC 
GEAR 


aliia 


lEBmamas 


1 aea 
555155 15]515) 


D Baa3eamas, POL 


Cr4s F 
62 H/E 
GH Du 
ES acmeanmam 


2945 ES 


0945 FC 
es BOrFOBB6B 


PUSH EAX 
CALL 


[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 
l| 44| X 


oy 4] lU Al 4 
PUSH & CR le = HULL 
Get Hody leHandleA 
Hou DWORD PTR DS: [4636025], EAS 
Ug tte a 


PUSH GA Brad = BERRA 
PUSH OWORO PTR OS: [463620] Hraz FEE ER E EE 
PUSH & Hraz EE E e 55 
PUSH OWORO PTR Os: [403028] Aral = DDGDDGDDpG 
FirstPro, Se4h1820 
Es itCode = Ø 
Ex itProcess 
PUSH EBP 
Mow EPP, ESP 

5d 


FirstFro.zHhHoduleEntr 
kernel3z2.7C08186D4F 


ASCII "HuHenu" 

S ASCII "DLGCLASS" 

PUSH FRE RercHame = IDI_AFFLI 

PUSH & [Fins = HULL 
LoadIconH 

HOL 


Ho 
PUSH FRE rRerchame = 


FirstPro. i Modu leEntryPoint > 


Address [Hex dm laser 


44 4C 4? 43/41. 41 53 53/66 4D 79 40/65 GE 75 Bä 


5/55 15/515]515] 
6644834816 
paamaaa 
BE4HS038 
GISEISEISEIS 
5/55 155151215] 
ramas 
pads 
HAD 
ISEISEISKEIS 
BE4ES0A8 
padasaBa 


Bia 
Baai3FFBB 


| TC91EB94 


"FFDrBeaan 
Bal3FFC4 
Bal3FFFB 
FFFFFFFF 
"CS928738 
004019008 


ES mma 


cs 
55 


Bana as 


BER 


ntdll.KiFastSus=stemkallRet 


ntdll.7C928738 
FirstPra.zHoduleEntruPoin 


32bit BLFFFFFFFF! 
Bebit BLFFFFFFFF! 
32bit BLFFFFFFFF! 
Bebit BLFFFFFFFF! 
32bit rFFDFaBarFFF1 
HULL 


ERROR_ZNO_TMPERSOMATION_TO 
(HO, HE, E, BE, HS, PE, GE, LEI 


empty -UMORM ESC 81856164 amans 


empty B.H 
empty 4.8 


empty 
empty 
empty 
empty D 
empty D 


BABE 
B27F 


Cond B A 8 & 
Prec HEHR,53 Mask 


EE TET 


OLGCLASS. MyMenu. Be1SFFCS 


HuLDiLaloa.Dialoa 


As Main 


Bal3FFCC 
paisrFFDa 
palaFFD4 
pailsFFDS 
BA1SFFOC 
BE1SFFES 
Be1SFFE4 
Bal3FFES 
Hai SFFEC 
0ail SFFFE 


TCSISD4F 
"C9PHT38 
FFFFFFFF 
"FFDz BB 
205420F0 
BG1SFFCS 
81927 ER 
FFFFFFFF 
7CE399F3 
7CS16058 
Baaaaaaa 
Bana 
Eee ed 


3 18 ESSUB 
Err A A S 


RETURN to kernels32.r!, 
ntdl l.r C3206738 


End of SEH chain 
SE handler 
kecrnel3S2, FC816058 





Command | 
| Program entry point | 


En la segunda linea del código, aparece una llamada a la función 
kernel32.GetModuleHandleA. En primer lugar, veamos el significado de esta función. Hacemos 
clic con el botón derecho sobre GetModuleHandleA y seleccionamos "Help on Symbolic 
Name". Olly abre una hoja de ayuda sobre esta API: 


Enter 

Mew origin here Ctrl+Gray * 
Go En d 
Follow in Dump k 
CErI--K 


Follow 


View call tree 


Search For 

Find references Eo 
VIEW 

Copy ka executable 


TT Y" Fr F? F 


Help on symbolic name Ctrl+Fl 





Analvze This! 


IDAFicakar d 
? 


Appearance d 
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^ Win32 Programmer's Reference l - [Bl xj 


Archivo Edición Marcador Opciones Ayuda 


GetModuleHandle 


The GetModuleHandle function returns a module handle for the specified module if the file has 
been mapped into the address space of the calling process. 


HMODULE GetModuleHandle( 
LPCTSTR ipModulelName A address af module name to return handle for 


|: 


Parameters 


ipModuleMame 
Points ta a null-terminated string that names a VVin3z module (either a .OLL or .EXE file). If 
the filename extension is omitted, the default library extension .OLL is appended. The 
filename string can include a trailing paint character (.] to indicate that the module name has 
no extension. The string does not have to specify a path. The name is compared (case 
Independently) to the names of modules currently mapped into the address space of the 
calling process. 


It this parameter is NULL, GetModuleHandle returns a handle of the file used to create the 
calling pracess. 


Return Values 
lf the function succeeds, the return value is a handle to the specified module. 


It the function fails, the return value is NULL. To get extended error information, call GetLastError 


Remarks 


The returned handle is not global, inheritable, or duplicative, and it cannot be used by another 
process. 


Ki 





Vemos que esta función recibirá un identificador de la ventana que vamos a modificar. 
En Windows, si deseamos manipular una ventana debemos obtener un identificador 


que ayude a encontrar el objeto al que nos estamos refiriendo. 


Cerramos la ventana de ayuda y vamos a ver exactamente hacia donde apunta esta 
llamada. Para ver la dirección de la función GetModuleHandleA, hacemos clic en la línea de 
CALL GetModuleHandleA y pulsamos la barra espaciadora. Se abrirá la siguiente ventana de 


ensamblaje: 


Assemble at 00401002 X] 





I Fill with NOP's Cancel | 
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Esta ventana tiene dos propósitos: en primer lugar muestra las instrucciones exactas del 
lenguaje ensamblador y en segundo lugar nos permite editar nuevas instrucciones. Existen dos 
formas para saltar a la dirección 4012D6 (sin llegar a ejecutar el código). Podemos resaltar la 
linea "CALL GetModuleHandleA " y pulsa "Enter" o pulsar Ctrl+G e introducir la dirección 
manualmente: 


ag4Blzvt 
aa4aiza2 
00401288 
A0401 28E 


Doan AC 
adgadi2Bp2 
Dap) ZP 
Hadhi BE 
Dan) 204 
ba4+612CA 
668441206 
668441206 
668441200 
aagda1i2E2 
Dan) ZE 
Dap) EE 


ex 44] X 


53284088 
462764568 
¿Led 06h 
39204004 
34204000 
30204000 
3L204 464 
razas 
44204000 
43264088 
4C 2804888 
5204004 
542404064 
2204000 
1 C2848568 
24264088 
aa2adagn 
ac2ada88 
HS264088 
a4 283888 


b- | Il 


:[ZE&Eusera32. 
:[Z&users3z2. 
:[iEusera32. 
:[ZEusera3z2. 
:[Z&users3z. 
[$user 
:[ZE&Eusera32. 
:[Zz&user3z. 
[$user 
:[ZEusera32. 
¡[ilus era. 
[$user 
:[ZEuser32. 
:[z&kernel32.EHsitPFrocez 
¿[<£kernelS2, Bet Command 
:[ZEkernel32.üG8ethodule 


IsDialoahezs 
LoadCurzorH 
LoadIconA?] 
Load Image? 
Hes=ageBoxA 
Post Eu tthess 
Register Las 
SendLDlaltem 
SetOlaltemTe 
SetFocus] 

Shawll in dow? 
TranslateHesz 
Lpdat ell undo 


LU SERSZ.IsDialosgHezzsageH 
LISERSZ.LoadCurzsarH 
LISERSZ.LoadIcanH 
LSERSZ.LoadImaageH 
LISERSzZ.HezezaaeBasH 
LUSERSZ.PosthiuitlHezzaage 
LUSERSZ.ReaisterClazsESsH 
LISERSzZ. Sendo laltemhessaaeH 
LUSERSZ.SetDlaltemTestH 
LISERSZ. SetFocus 
LUSER3zZ.Showl indaw 
LUSERSZ.TranslatehMezzsaae 
USERS2. Updat ell undaw 
kernel3z.EzsitPracessz 
kecrnel32, Bet CommandL ineH 
kerne l32. GetModuleHandleA 


Ss [sconet Loe, 
:[Z&onomctl32. 
:[Z&Ecomct|l32. 
:[Z&oomctla32. 


ImaaeLiszt 
ImaaeList 
ImaaeL ist 
InitCommo 


comet Lae. 
comet Lae. 
comet Loz. 
comet [3z. 


ImaaeLizt, Hdd 
ImaaeList, Create 
ImaaeLizt, Dieztrou 
InitCommonControls 


Dap) 2F4 
BE4H12F5 
DA) ZE 
Dap) ZE 
DA) ZE 
Dal ZE 
Doan) ZE 
Dal FE 
DA) ZEIL 
Dap) ZE 
d 





6.3 La tabla de saltos 


Lo primero que debemos saber es que los DLL no siempre se cargan en el mismo lugar 
dentro de la memoria. El cargador de Windows puede cambiar el lugar de los archivos DLL. La 
razon se debe a que una de las primeras DLL que se cargan en Windows tiene asignada la 
dirección 80000000. 


Si nuestra aplicación incluye un archivo DLL que va a ser cargado en esa misma 
dirección, el cargador debe mover uno de estos archivos DLL a otra dirección. Esto sucede todo 
el tiempo, y se llama reubicación. 


La primera vez que escribimos el código para una aplicación y añadimos una 
instrucción que llama GetModuleHandleA, el compilador va a saber exactamente dónde está el 
DLL adecuado, por lo que asigna una dirección a esa instrucción, algo así como "CALL 
800000000". Después, cuando el programa se cargue en memoria, todavía sigue teniendo 
este CALL a 800000000, pero ¿qué sucedería si el cargador haya decidido trasladar esa DLL a 
80000E300? ¡La instrucción CALL llamaría a la función equivocada! 


La forma en que el archivo PE, y por lo tanto el archivo de Windows, evita este 
problema es mediante la creación de una tabla de saltos. Es decir, cuando se compila por 
primera vez el código, cada llamada a GetModuleHandleA va a señalar una ubicación única en 
la aplicación, y esta ubicación ünica inmediatamente saltará a una dirección arbitraria (lo que 
eventualmente se convertirá en la dirección correcta). De hecho, todas las llamadas a funciones 
DLL utilizan esta misma técnica; llaman a una dirección específica que inmediatamente saltará 
a una dirección arbitraria. Cuando el cargador carga todos los archivos DLL, pasará a través de 
esta "tabla de saltos" y reemplazará todas las direcciones arbitrarias por las direcciones reales 
que la función tiene en la memoria. 
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Volviendo a nuestra aplicación FisrtProgram.exe, cuando se escribió el código para 
dicho programa, todas las funciones que vemos en la tabla de saltos han sido llamadas por 
varios DLL, pero el compilador no sabe dónde situarlos en la memoria una vez que el programa 
se ejecuta. Por lo tanto se podría haber creado una tabla como la siguiente: 


40124C JMP XXXXX // gdi32.DeleteObject 
401252 JMP XXXXX // user32.CreateDialogParamA 
401258 JMP XXXXX // user32.DefWindowProcA 


40125E JMP XXXXX // user32.DestroyWindow 


Una vez que el cargador haya cargado nuestra aplicación junto con los DLL, y 
encontrado las direcciones de esas funciones, recorrerá todas ellas, una por una para 
reemplazarlas por la dirección real en la que residen ahora esas funciones. Si no se hubiese 
hecho de esta forma, el cargador se vería forzado a recorrer toda nuestra aplicación y reemplazar 
todos los CALL a todas las funciones en todos los DLL con la dirección real. De esta otra 
forma el cargador solo reemplazará la dirección en un sitio por cada función CALL, es decir 
aquellas líneas de funciones en nuestra tabla de saltos. 





Para ver esto mejor reiniciamos la aplicación en Olly y pulsamos F7. Llegados a la 
instrucción 401002 pulsamos la barra espaciadora y vemos que la dirección apunta a 4012D6 
(ver apartado 12.2). Ahora pulsamos F7 para entrar dentro del CALL y veremos cómo nos 
encontramos en la dirección 4012D6. Si ahora volvemos a pulsar F7 llegaremos a la dirección 
real de GetIModuleHandleA, en nuestro caso 7C80B529. Existen dos formas de ver que nos 
encontramos en el módulo kernel32; la primera es fijándonos en el título de la ventana de la 
CPU de Olly: 





OllyDbg - FirstProgram.exe - [CPU - main thread, module kernel32] 
[e] Fie View Debug Plugins Options Window Help Tools BreakPoint- = 
44] KU wäit Bb ad 


HOU EDI,EDI 
PUSH EBF 









ai 


















rCSHBSe 

TCBEBBS2C SBEC HOL EPP, ESP 

TCSBHB5EZ 2370 48 BB CHF H 

rCSBBSs2 r4 18 JE 

TCaóB5=4 FFFS ma PUSH FicstPro.<ModuleEntruPoint: 









La segunda forma es abriendo la ventana de la memoria y buscando la dirección. 
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Continuemos estudiando más funciones. Reiniciamos la aplicación y pulsamos F8 hasta 
llegar a la dirección 40100C. En esta línea vemos un CALL a la función GetCommandLineA. 
Hacemos clic en la línea y pulsamos sobre la barra espaciadora para ver a qué dirección apunta. 


OllyDbg - FirstProgram.exe - [CPU - main thread, module FirstPro] | 


MER. 








[e] Fie view Debug Plugins Options Window Help Tools BreakPoint-> 
ll dad Si ee ey) ao oa 


Dapp rz ¿A a PUSH El 
64840162 ES CFäzaggä CALL <JMP.&kerne 132, Get Modu leHandleA> 
Badglam? ||. AS 28304000 

. ES BEZ 


Hau DWORD PTR DS: [46625], EAS 
Assemble at 00401000 x! 


ai 
















CALL 00401200 


DAHL Ze 
44441420 


68481820 e 
pasalar | je Fill with NOP"s Cancel | 


460401432 
Fide d m9 





Vemos que apunta a la dirección 4012D0. A continuación utilizaremos el método manual para 
acceder a dicha dirección. Para ello pulsamos Ctrl+G, o haciendo clic con el botón derecho 
seleccionamos Go to -» Expression. 





EDs P/CSIEB3 





= mess JES ar 
E. esi [E Be 
Binary y First! JEDI 7c92073 
Assemble Space : Ex ite: EIF 66481646 
: C B ES 062 
Label P1 CS BB 
Comment : Hu 55 ma 
7 1 OS 062 
Breakpoint k 5n FS 003 
To Ge ma 
Hit trace d Do 
O 8 LastEr 
b Firstl 
Hun trace kerne EFL aaa3a824 
Follow Enter | ascii Eee: n 
Follow in Dump KE 
View call tree Crrl+k 


Previous procedure Ctrl+Minus 
Search For d Mext procedure Ckrl+Plus 





xi 
ap 200 -| 


Cancel | 


Hacemos clic en OK y saltaremos a la tabla de saltos para la funci6n GetCommandLineA. 
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OllyDbg - FirstProgram.exe - [CPU - main thread, module FirstPro] 







naqal 25E 
6401264 
ag4d1z26H 


an4B1294 
an4ai125n 
agn4al2Ba8 
agn4B812B8 
SIE 
ABE 12B2 
an4ai2B8 
aBn4Bi2BE 
agn4Bi2c4 
agn4Bi2chn 
06491200 
66461206 
664612DC 
an4Bi2E2 
an4Bl2E8 
aB4Bl2EE 
agn4Bl2F4 
agn4Bl2F5 
BB4B12F6 
BB4812F7 
4 


[=| 44 Si kl 
ecemdana 
eacadana 
DEILZDADDD 
64264088 
Leen 
5324440 
40204000 
eC egdana 
30204006 
34204006 
32204006 
32404006 
rae 
4428488068 
48204000 
420406 
542484406 
54204006 
20204006 
11204000 
24204000 
Ba2adana 
ac2adana 
Ba2adana 
64284088 





[e] File View Debug Plugins Options Window Help Tools BreakPoint- 


dl ai 


:[Z&kusersSz. 
:[Z&user3z. 
:[£&user3z. 
:[£Z&user3z. 
:[Z&user3z. 
:[Z&user3z. 
:[Z&kusersSz. 
:[Z&kusers3z. 
:[Z&user3z. 
:[£Z&user3z. 
:[£Z&user3z. 
:[£Z&user3z. 
¡Ius era. 
:[Z&kusersSz. 
:[Z&kusersSz. 
OS: [£&user3z. 


ejes iE 


DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DIJORD 
DIJORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
OWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DIJORD 
Ba 

DH 

DG 

Hp 


[Ile st rou ll indo 
Oispat chess 
GetOlaltem> 
GetOlaltemTe 
GetHes=ageh 
TsO taloghese 
LoadCurzorH 
LoadIconH?] 
LoadImageA> 
HezsaaeBasH 
Fostliuithezs 
ReaisterCLlaz 
SendLDlaltem 
SetOlaltemTe 
SetFoacus?] 

Show in dow > 
:[£&user3z.Translatele- 
:[£&user3z.lpdatellinda 
:[Z&kernel32.EHsitPFracez 
:[Z&kernel3z2.tGetCommanc 
:[Zz&kernel32.G8ethHodule 
:[Z&oomctliS32.ImaaeLizt 
0S: [£&eomct L32. ImaaeL ist 
05: [£&ecomct Loe. ImaaeL ist 
0S: [£&ecomct L32. Ini t£ Comma 


USER3Z. 
USERS. 
LUISERSZ. 
LUSER3z. 
LUSER3z. 
LUSER3SzZ. 
USERS3Z. 
USER3Z. 
USERS. 
USER3z. 
LISER=SZ. 
LISER=SZ. 
LISER=SZ. 
USERS. 
USERS. 
USERS. 
LUISERSZ. 
LISERSZ. 


Dest royk Lndow ES 
DispatchhessageA 

GetOlgItem 

GetOlaltemTeztA 

GetHes=ageH 

IsDialogHezzaaeH 

LoadCurzorH 

LoadIconH 

LoadImaaeH 

Mes=ageBoxA 

Post Au ithessage 

Registerl LassExA 
SendLDlLaltemlezszaaeH 
SetDlaltemTestH 

SetFocus 

howl inidow 

Trans lateMessage 

Updatellindaw 

kerne loz. 
kernel32. 
kernel32. 
comet 32. 
comet 32. 
comet 32. 
comet Loz. 


Ex itProcess 

Get Commandl ineH 
Get Modu LeHandLeH 
ImaaeLizt, Hdd 
ImageList, Create 
ImaaeL ist, [lestrou 
InitCommonCaontroals 


Pulsamos F7 para tomar el salto hacia el principio de la función GetCommanLineA del 
kernel32.dll. Vemos que la función empieza en 7C812C8D: 










rEs12093 
rCcalscu4 
rLs12095 
TLe12096 
PCSlecor 
rC812C98 
rLs12C9A 
rTLs12.9L 
rCEs12C9E 
rCS1izCAġ 
VC812CA1 
rCSl2CHr 
rCal2cHS 
rLs12LA9 
rCS12CHB 
VC812CAC 
VC812CAE 
VC312CAF 
PCSL2ZCBS 
PCSl2CBS 
PCS12CBC 
rCSl2CBE 
rLs12CC2 
rLs12LC4 
rTLs1i2CC? 
rCS12CLH 
rc812CCDO 
1 





ex 44] X 


HF 

¿156 FC909090 
an 

30 

GEFF 

55 

SBEC 

SÉ 

64:A1 1500606 
caro ma F4 
5648 38 


v rd 2E 
S370 68 FS 
rb 16 


5646 16 
oBrB 1C 
e3FE FF 
v HE 356-0200 





OllyDbg - FirstProgram.exe - [CPU - main thread, module kernel32] 
[e] Fie View Debug Plugins Options Window Help Tools BreakPoint- 


> | 11 


eds E 4 
MOL EBx,DIORD PTR OS: [rCss35F41 


ai 


HDD BYTE PTR OS: LEA+=], HL 

HDD BYTE PTR OS: LEHal, AL 

SCAS OWORO PTR ES: LED 

is DWORD PTR DOS: [EAs+90909607C], EAs 


HOF 

Mol! EDI, EDI 

FISH EPP 

Mow EBF, ESF 

FUSH ESI 

Mow EHS, 0WORO PTA FS: E1381 
CHF DWORD PTR- SS: EEBPABl, -0C 
ge: EAH, OWORO PTR OS: LEA=+34] 


CHF —HE 


HOU EAs, DWORD PTR OS: CEA++16] 
HOU EST, DWORD PIR OS: CERA++10] 
CMP ESI,-1 













Unknown 


command 


Unknown command 


FirstPro,. #6468868 


ntdll.rc928?338 
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6.4 Saltar dentro y fuera de los DLL’s 


A medida que analizamos un programa, no seran pocas las veces en los que tengamos 
que confrontarnos con los archivos DLL. Sin embargo, a la hora de superar algun tipo de 
protección, estos archivos DLL de Windows no nos van aportar gran cosa. La única salvedad lo 
constituyen aquellos programas que vienen con sus propios archivos DLL (o en los que el 
esquema de protección está dentro de en una DLL). Hay un par de maneras de regresar a nuestro 
código a partir de un archivo DLL. Una forma es simplemente pasar a través de la totalidad del 
código de una función perteneciente a un DLL, para finalmente regresar al programa. Esta 
opción es poco recomendable debido a la excesiva cantidad de tiempo que tendríamos que 
emplear para realizar dicha tarea. La segunda opción es ir al menu de Olly y seleccionar 
"Debug" -> “Execute till user code" o presionar Alt+F9. A través de esta opción ejecutariamos 
el código dentro de los DLL hasta volver a nuestro propio programa. Esta opción sin embargo 
no funcionará en los casos en que el DLL tiene acceso a un buffer o variable que está en el 
espacio de trabajo de nuestro programa. Olly se detendría ahí, por lo que podríamos terminar 
llamando Alt+F9 varias veces antes de que finalmente regresáramos al código del programa. 


Veamos un ejemplo en Olly. Partimos de la dirección 7C812C8D en la que nos hemos 
detenido en el paso anterior, y que supone el comienzo de la función GetCommandLineA. 


Presionando Alt+F9 nos sitúa en la siguiente instrucción del programa: 


Debug Plugins Options Window Hi 


Run ra 
Pause ri 
Restart Ctrl+F2 
Close Alt--Fz 
Step into E 
Step over Fo 
Animate into Ctrl+FF 
Animate over CEri-F8 
Execute till return Ctril+Fa 


Execute till user code AHF 





OllyDbg - FirstProgram.exe - [CPU - main thread, module FirstPro] 
[e] File View Debug Plugins Options Window Help Tools BreakPoint- = 






44 XX] Kill S gb al a 





BE461888 r$ GH a PUSH El Fpiodule = ^| 
64441642 ES CFH2Badma CALL <JMP.&kerne 132. GetModu leHandleA> 

Dal oe H3 28304050 HOW OWORO PTR DS:L4838231, EAS m 
Hagi AC ES BFu2aanma [ C iet Command 
64441611 6H BH PUSH BH Hrg4 = BHB 
66441413 FF35 2304006 PUSH OWORO PTR OS: [4683620] Aras = mad 





Intentemos ahora otra manera de regresar al código de nuestro programa. Reiniciamos 
el programa, pulsamos F$ hasta llegar al CALL GetCommandLineA (40100C), pulsamos F7 
para entrar en el CALL y volvemos a pulsar F7 para saltar dentro de la tabla de saltos. 
Volvemos a estar al comienzo de GetCommandLineA: 
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VI 


1ÜCICICICICICICICICHICICIC Ulm 
SÉIS SI SI SD SI i xmas 
[T1 C3 T2 00 7 CT CE] En fule 


I 
^J 


474 74 7474 74 74 714 754 041 04 74 74 71 a 
DD 
E 


Cirararcirararirararirairaradr Ulm 
co co ca co en ea co ca en cn co o8 00 


p bech bech keck bech bech ol bech bech po ke bech keck 7 


d P» Pe P P P2 Ps P D T2 P3 P D [OR 


>> 

Ce 

e co 
— Feb 
Ih PIE 
oe 
em 
gess 


EE 
7rC812CAF 
rCSIZCBB 
rCS12CB2 
rTCS12CBC 
r"CS12CBE 
p 
12CC4 
| pea pa 
S1ECCH 
¿CCD 


ee 


174 ^4 74 


dn 


E 
Jac DO gd WD oa 


CHE 


Kä 


ali. 7-] 7 
— Ap 
Pap 
CH) 
at 
Ou 


Access 


Address 
Em 1 mad 
5/5/55/5]5]5] 
Bam 
gBa13npama 
Bia 13Emmua 
DL App 
DD LG 
DZ DD 
Bazemamua 
DZ Cp 
5/5 988848 
DZ 
AS28888 
5/555]5/5/5]5] 
DZ 
HES 98884 
5/5]5/5/5/515) 
[pamm 
Eds mama 
HE462088 
Bgadmsmmua 
DDADADIDD 
Eg 1 eee 
Ead 
BaadEmmmua 
DDE GGG 
5sr3mmmuau 
523031664 
DOC Logg 
5Ssrmndmma 
58rr3mma 
rrDlmuaaa 
CDI Lon 
d CU eg 
dee 2ppp 
rrO30884 
rrDnaaaa 
CU Lg 
TrElé6éeaa 
dE LB 
P GC EE) 
CEO 
rrE51nmmua 
CEO 


d 
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OllyDbg - FirstProgram.exe - [CPU - main thread, module kernel32] 
[e] File View Debug Plugins Options 


ex 44| X 











Window Help Tools BreakPoint-> 


E AE Ala! + 






PH bs 














HOW ER, OWORO PTR OS: 0P°C88S5F 4) = 
RETH 
HOP 
HOP 
a i 
26 HOP E 
FFFF Unknown com 
FFFF Unknown com 
EE ADO BYTE PTR OS: LEHS1,HRHL 
DD ADO BYTE PTRA DS: CEA#I,AL 
HE SCAS DWORD PTR ES:CEOII 
GAR TC90909ġ ais DWORD PTR DS: CEAH+9898967C], EH FirstFro. ġġ 
26 HOP 
SBFF HOW EDI, EDI ntdl l.r C926 
GE FUSH EBF 
OPEC HON EBP,ESP 
Ge FUSH ESI 
64:01 1806000 HOW EA», OWORO PTR FS: E1381 
S3rD As F4 CHP pM 
26446 36 HOW EAS, OWORO PTR OS: CEAsS+36] 
v Fd 2E JE 
S3rD As F5 CHF —HB 
v FE 16 die 
56446 16 HOW EA», OWORO PTR DS: [EA+*+16] 
SBra 1C HOW ESI,.DWORD PTA O38: CEA#+1C] 
S3FE FF CHF ESI,-1 


v BFS4 26200 
SBCE 


EE 





JE 
HOW EA, ESI 
PHP FST 





FirstPra. AR bud 
F 


A continuación vamos abrir la ventana de la memoria y buscamos la sección que 
contiene el código del programa (a partir de la dirección 400000 con el PE Header). 


Size 
EE 1 mad 
DD aaa 
66661666 
66601066 
DZ 
HAHAHAH 
DDDDADDD 
DD 
HAHAAH 
Ema 1smaua 
DG 
DA LD 
DD 
66641000 
66601000 
[5/5/5575 ]5]5] 
5/5/5/5]5]5]5] 
666681066 
Emm 1 maa 
Emm 1 maa 
DD aaa 
66661666 
salsissa] 
gamma 
661683004 
DDGA 200 
66601066 
DD CDD 
DZ 
6661 Fag 
pim add 
66601006 
GRBSFAGA 
DZ 
DD 
pm muda 
gamma 1maa 
D Ep 
5/5/5/55]5]5] 
ARRA2CARA 
DD 
66601006 
D 2000 
DD CD 


COOC d arara 


Owner 


FirstPro 
FirstFro 
FirstFro 
FirstPro 
FirstPro 


comer [32 
comer [32 
comet [32 
comct 32 
comot [32 
USERS2 
USERS2 
USERS2 
USERS2 
USERS2 
ADUAPISZ 
ADUAPIS2 
ADUAPISZ 
HDUBPI3z 
HLDIUBP I 3z 
RFCRT4 
RFCRT4A 
RPERT4 


HART A 


Sect Lon 


atent 
.rdata 
¿data 
rere 


atent 
„data 
rere 
.relaoc 


atent 
¿data 
rere 
.relaoc 


atent 
„data 
rere 
.relaoc 


„tent 
» OPC 
-l = de = 


Contains 


stack of main thread 


FE header 
code 
import = 
data 
resources 


FE header 

code, imports,esports 
data 

resources 
relocations 

FE header 

code, imports, exports 
data 

resources 
relocations 

FE header 

code, imports, exports 
data 

resources 
relocations 

FE header 

code, imports, exports 
code 


aa = 


Type 
Fri 
Prin 
Fri 
Fri 
Fri 
Hap 

Priv 
Fri 
Hap 

Hap 

Hap 

Hap 

Hap 

Hap 

Friu 
Prin 
Hap 

Imag 
Imag 
Imag 
Imag 
Imag 
Hap 

Hap 

Hap 

Hap 

Imag 
Imag 
Imag 
Imag 
Imag 
Imag 
Imag 
Imag 
Imag 
Imag 
Imag 
Imag 
Imag 
Imag 
Imag 
Imag 
Imag 
Inag 





aga 158654 
406821004 
40621004 
a6B21104 
60621104 
40041002 
406821004 
aga 18654 
40641004 
40641002 
406841002 
406841002 
60641002 
60641002 
60621004 
466821004 
4068414002 
1601002 
16601002 
41601002 
410801002 
41001002 
60641020 
606041020 
40641002 
4068410824 
41601002 
41601002 
416601002 
41601002 
41801002 
41601002 
16601002 
416601002 
41001002 
41801002 
41601002 
41601002 
41601002 
41001002 
41801002 
41601002 
41601002 
Bi Be lab. 


nia 


Ri 
Ril 
Ri 
Ri 
Ri 
R 

Ril 
Ri 
Ri 


SS S 


mm 


3505050 50 50 50 50 30 50 50 50 50 50 50 30 50 50 50 50 50 20 50 50 90 20 90 n 50 20 20 30 50 m m m 







Initial access] Mapped az 


H 
Guarded Eu 
Du arded Hi 


=O] x! 


S 


H “Dew ice Harddisk 
R Dev Lose Harddisk 
H “Dey i ceHarddisku 
E “Dey ice Harddisk 


H “Dew ce Hardd isk 






Hacemos clic en la dirección 401000, que es la linea que contiene la sección .text. 
Pulsamos F2 para poner un Breakpoint on access en esta sección de la memoria. 



















BEE 
Address | Size Owner Section | Contains Type Access Initial access) Mapped az A 
Bam 00001666 Priv BaB21464 
a6620000| 00001006 Priv B6B214004 
aB630000| 00001066 Priv 66621404 BN Fly 
486130000! 000018686 Priv 660621104 Fl Guarded | Rl 
441 3E46646 | BARBARA stack of main thread Priv 66421144 Eh Guarded Rh 
48146000 | DOG Map 40641062 R R 
agisaana| 00604496 Priv B6B21404 Eli R 
aAB250000| aanaaéaaa Priv 66621404 BN Fel 
Baseémnana| anaasaaa Map  ammm4iaao4 Fh Ft 
Barman 00016866 Hap  ammB4ina2 R R “Dev ice Harddisk 
Basan aaaaspaaa Map 40641042 R R Dev icesHardd i=kU 
a6206000| 00041606 Map 20641442 R R *DeuviceHarddislku 
a6320000| aanaaéaaa Map  amm4iaaz R R Dev ice Harddisk 
Bassaana| 00041666 Hap  ammm4iaaz R R 
Bassmann| 00001666 Priv amm2inaa4 DN Fi 
a6390000| anaa4aaa Priv amm2i884 Fly Ri 
Dën) anaazaaa Map  aamm4iaaz R R *DeuiceHarddisk 
a64666000| 6000168686 FirstPro PE header Imag 610614002 R RWE 
SÉIER TTT Tweete - Imag 61601062 R RWE 
6402460 | mami Actualize Imag 41001602 R RWE 
a6463000| aam cA Imag 01001002 R RWE 
aa4a4aoa08| anao — View in Disassembler Enter Imag 01001002 R RWE 
86416608) ee Hap  aamm4iaza RE RE 
ae40eeee| eee Dump in CPU Hap  aamm4ia28 RE RE 
a64EB6BA| AALI Map 40641042 R R 
ccr m Ge Medi (E ME 

I mag 
cscsi000| mes Search CB forts Imag B16616002 |R RWE 
EA as Goes |f WE 

" > mag 

Eercaena mam Set break-on-access Fe Imag Diogo: |R ELE 
> ent TAB] BAB! däi Aën |F RIE 

E T Orts mag 
SE ppe Set memory breakpoint on access Ines 01891882 n RUE 

d j j mag 
S papapa mee ee memory breakpoint on write Imag 61661002 |R RIE 
e CDën: 00A Set access » Imag 81661002 R RWE 
70816046 | see Orts Imag 81861882 R RWE 
eet Leon) Geel Imag 81881882 R RWE 
rrEiBGma| 6668, Copy to clipboard + Imag 41661092 R RUE 
7?E47000| Gee Imag 61061492 R RWE 
rrEbBaB| 668 Sort by + Imag 81661082 R RWE 
vrE5i1mmma| 006: Orts Imag 61601062 R RWE 
7reD3a89| agai Appearance Imag alggjgaz |R RWE : 
EN d. 


Pulsamos F9 para ejecutar el programa, y vemos que Olly se detiene en 401011, una 


linea despties de nuestro CALL a la DLL ! 





OllyDbg - FirstProgram.exe 
Window Help Tools BreakPoint-> 
eje vu d > 


File View Debug Plugins 
Lex 44| X 


CPU - main thread, module FirstPro 


Options 
KH 














llamada ala DLL 















































Dapp (> ¿A HR PUSH o FpHodule = HULL d a| 
pam 1 ua ES CFüaeaaaad CALL ZX.JHMP.&kernel3z.G8&thHodu LeHandlen- o 
Era d er? . A3 25304004 HOW ONORO PIR DS: (4836251), EAS p El 
46461 DC . ES BFHzBibi CaetCommandLineH ~ 
664610611 . EA HH PUSH HA Uc = maim) 

Eia d13 . FF35 20304004 PUSH DWORD PTR OS: [4623620] Hras = DBDDDDGD 

mapir 19 . 6A DÉI PUSH o Araz = BERRA 

HE 1E . FF35 28364008 PUSH DWORD PIR Ds: [4636285] Arai = Hd 

Ae zi . Es #6866068 FirstPro, 66461620 

Ead De, . Eb PUSH EA Es itCode = 151EE8 

pma 2r . ES OEDZDDGDD CALL Ex itProcess 

pide uc Z EE PUSH EBF 

664610820 : HD EBP,ESP 

Ae46182F : ADO ESP,-E54 

66401032 S 3606666866) MOL! 

464601039 : Erg MOL! 

pd 1 Ada o AG 114664) MOL)! 

Eia 1 dag : DIE MO 

He46164E o LEooooop MOL! 

Dal DEE : FLISH FirstPro,. (Mody leEntryPoint > 
Ae461855 S POP kernel32.7TC816D4F 

6646] ASE : 16666666) MOL! 

piam S 493646686) MOL)! ASCII "MuMenu"" 

DAD DE ABSE4688) MOL! ASCII "DLGCLASS" 
66401074 es BF PUSH FRR RerchHame = IDI HFFLICHTIUOH 
6401405 . GA DÉI PUSH o [rinse = HULL 

646010877 . Es BCBZDDDD LoadIconH 

464610 . 8945 ES 

a64a1arF 2945 FC 

Eamus es BF PUSH FRR RerchHame = IDC_ARRON 
pagis? . GA DÉI PUSH o [rinse = HULL 

66401059 , Es F4üBlBüina LoadCursorH 

HE46185E . 8945 EC MOLI 

SIE NS KEN 2045 Dë LEA EAH, 

66461094 ca PUSH EAR plindClassEx = BEISIEES 
AB461695 ES #6620008 Register lassExaA 

Hagal HSA ES 4Fe2CHHHR Cin itCommanControls 
He46189F . GA DÉI PUSH o lParam = 8B 

66461641 . GA HB PUSH o pOlLgProc = NULL 

464610543 . EA Ø PUSH o hOwnes = NULL 

Ae461605 65 14304000 PUSH premplate = "MyDialog™ 
HG46160A FF35 25364008 PUSH DWORD PIR OS: [4636235] hinst = Beda 

6441 ABH » ES 3061866 Create[ialogFaramH 
BE461665 . 2945 Eb HOL EAS 

HE461868 . EA HH PUSH o (baran = 6 

4al ABA BH 14 PUSH i4 wParam = 14 

23940106C ||. 68 lepapaga ` |PUSH AE llessage = WH_USER+3@, 


ef 


al | 
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6.5 La Pila (II) 


La pila es una parte muy importante en ingeniería inversa, y sin una comprensión 
exhaustiva de la misma no lograremos alcanzar nuestros objetivos. 


Comenzaremos por visualizar la ventana de registros, (después de reiniciar la 
aplicación) y especialmente el registro ESP. Este registro apunta a la dirección situada en la 
parte superior de la pila. En nuestro caso ESP es 13FFC4, valor que coincide con la dirección 
que muestra la pila en primer lugar: 


Registers [FFU] 
EE E ERI 
Dpl2EERG 
EE ntdllL.RiFastSystemCal (Rer 
OB18FFC4 ben 
Dpl2EEES 
FFFFFFFF 
Cape ntdll.7vrC928?738 


664401666 FirstPro. Hody leEntryPoint > 


aebit BIFFFFFFFF1 
32bit BIFFFFFFFF1 
32bit BÜFFFFFFFF) 
32bit BIÜFFFFFFFF) 
32bit EEDERoOLEFF 
HULL 


LastErr ERROR_NO_IMNPERSONATIOM_TOKEN (86868510) 
Bamama246 (HO, HE, E, BE, HS, PE, GE, LEI 


empty —UNORM Doc 616501604 DD 
empty H.H 

empty B. 

empty 

empty 

empty 

empty 

empty 


BEBE 
BerF 


23214 
Cond HH Awa Err 
Prec HEHR,53 Mask 





: rEsló6D4F to kern 
Dol rCI2h7 Ss ntdll.7C9258r?38 
He BAF CC FFFFFFFF 
D [i£ FEEDS 
a613FFO4 2654S3DFO 
HA SFOS Ba13FFCaS 
461 3FFOC alb4EB2BH 
Hel SFFER PEPREEEF End of SEH chain 
Hel SFFE4 rCS393F3 SE handler 
HALSFFES rCS81i605s kerne lose. r C9160585 
Hal SFFEC DO 
emmn13FFFE ARBAB Ké 
Goal SE A MATA ATA TADA TA 
d k 


Pulsamos F8 u F7 para colocar el valor cero en la pila. 







rara ra 























GGopGGn 
Gai3FFC4 | vCEIGD4F 
ABÍSFFCS | 7C926738 
ABÍSFFCC | FFFFFFFF 
maiaFFDa | rFFDaaa 
üB13FFD4 | S0543D0FD 
AGISFFOS | BBISFFCS 
ABÍSFFDC | sif4eacn 
üB13FFEB | FFFFFFFF ^ |End of SEH chain 
AGÍSFFE4 | rCS399F3 | SE handler 
ABÍSFFES | 7CS16058 |kernelS2. 7081605 
AGÍSFFEC | GGoonoo 
| 
«| 





Si nos fijamos en la ventana de los registros vemos que ESP ha cambiado a 
13FFCO, porque después de colocar un byte en la pila, esta es ahora la nueva cabecera 
de la pila. 
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Pulsamos F8, saltamos por encima del CALL GetModuleHandleA, y volvemos a 
la ventana de la pila: 






rea1604F RETURN to kernel32.7rC815D4F a 





EalsFFC8 rCcazH38 ntdll.7c928738 
HHLSFFCC FFFFFFFF 

He1SFFOu FEEDS 

Hei SFFO4 agms43nDFDn 

641SFFOS Bai sFFCa 

Bm13FFLLc al54EB2H 

HL SFFEe FFFFFFFF End of SEH chain 
Hi SFFE4 TCS599F3 SE handler 
Bmal13sFFES Yca216055 kernel32.708186D52 
HeLSFFEC ARERR 

641S3FFFA AHAHAHAH 

Hel SFFF4 DEIDDDDDD 

HHISFFFS 64441 HHH FirstPro. (Mody leEntryPoint + 
H1SFFFC ARERR 


«al | , 


Vemos que la pila se ha incrementado en uno hacia abajo. La razón de ello es la función 
GetModuleHandleA, que utilizó como argumento el cero que fue empujado en la pila y luego lo 
quitó de la pila, ya que no era necesario. Como se vio en el capítulo anterior, esta es una manera 
de pasar argumentos a las funciones: son empujados a la pila, la función CALL los saca de la 
pila, los usa, y luego regresa, por lo general con alguna información en los registros. 


Si presionamos ahora F8 dos veces para pasar por encima de la llamada a 
GetCommandLineA observaremos que la pila no ha cambiado. Eso es porque no empujamos en 
la pila algo que pudiese ser utilizado por esa función. A continuación, se llega a una instrucción 
PUSH OA. Este es el primer argumento que vamos a pasar a la siguiente función CALL. 
Pulsamos F8 y vemos que OA se ha situado en la parte superior de la pila y el registro ESP 
se ha reducido en 2 bytes (cuando se empuja un valor en la pila, el registro ESP disminuye a 
medida que la pila 'crece' hacia abajo en la memoria). Pulsamos F8 de nuevo, y el registro ESP 
baja de nuevo 4 bytes, ya que hemos empujado un valor de 4 bytes en la pila. Si nos fijamos en 
la parte superior de la pila vemos que hemos empujado 00000000 en la pila. Veamos de donde 
sale ese valor. 


La instrucción en 401013 es: 
PUSH DWORD PTR DS:[40302C ] 


Lo que viene a decir esta instrucción es que tomemos cuatro bytes del contenido en la 
dirección 40302C para  empujarlo en la pila ¿Que hay en  40302C? 
Hacemos clic con el botón derecho sobre la instrucción en la dirección 401013 y seleccionamos 
"Follow in Dump" -> "Memory Address". Esto cargará la ventana dump con el contenido de la 
memoria a partir de 40302C: 


Mew origin here Chrl+Gray * 


en on en cn cr 





Go En k 


Follow in Dump Selection 


View call tree Chri+k | Memory address | 


Implicit stack address 





Search Far 
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DS: [50403020 ]-8898585::5:5:5 










Address 
Baa 





GB B HB GB BG GB BE poloa BE HG GO 


als ds] (uil 
HAD ZU. 
BAR 2DEL 


4 


Si presionemos F8 una vez más nos encontraremos con otro PUSH pero esta vez en la 
dirección 403028. Si nos desplazamos hacia arriba en la ventana dump se puede ver que en esta 
dirección hay todavía más ceros. Así que lo que esta sección está haciendo es empujar punteros 
a direcciones de memoria, actualmente fijados en cero, y que nuestro código usará como 
variables. Pasamos (F8) sobre el último PUSH y entramos (F7) en el CALL que apunta a la 
dirección 40102C. Podemos observar que algo nuevo ha sido empujado en la pila. En nuestro 
caso es la dirección de regreso correspondiente a nuestra llamada, 401020. 


Cuando cualquier código utiliza una instrucción CALL, la dirección de la siguiente 
instrucción que se ejecutaría si no hubiésemos hecho la llamada es empujada automáticamente 
en la pila. Después de hacer todo lo que tenga que hacer la función llamada, ha de saber dónde 
regresar. Esta dirección que es empujada automáticamente en la pila es la dirección de regreso. 
Podemos verlo en la parte superior de la ventana de pila: 





addimus RETURN to FirstPro. 66461626 from FirstPro. 66461620 E 
aaisrFFB4 ajo 15/5/5155] FirstPro. 46468608 
BHISFFBS BERBER 
Hal SFFEC BERBER 
BHI FFC BERBERA 
HHL SFFC4 PCSle04F RETURN to kernels2. PCS1604F 
BHISFFCS LZ 202 ntdll.rc92mB?38 
aaisrFFCC Is EE 
Hal SFFOR rFFDemnaa 
Bel SFFOS SH54S0F0 
B481S3FFOS B413FFCS 
bei SFFOC alb54bEn28 
Bel SFFER EEEEEEEE End of SEH chain 
Had13FFE4 CL SE handler 
BHI SFFES rLa160583 kernel32.vCS15D58 
aaisrFEC Eae ee M 


TT wb EE 


de dE dE dE dE dE dE 


Vemos que Olly descubrió que se trata de una dirección de regreso y que apunta de 


vuelta a nuestro programa FirstPro. La dirección de regreso es 40102C. 


Ahora, al final de esta función, se utilizará una instrucción RETN "Retorno". Esta 
instrucción de retorno lo que realmente significa es: saca (POP) la dirección que se encuentra en 
la parte superior de la pila y sefiala hacia esa dirección el código que estamos ejecutando 
(básicamente sustituye el registro EIP -el registro de la actual línea de código que estamos 
ejecutando- con el valor que ha sido sacado de la pila). Así que ahora, la función que ha sido 
llamada sabe exactamente donde tiene que regresar cuando haya acabado! De hecho, si nos 
desplazamos un poco hacia abajo veremos la instrucción RETN en la dirección 4011A3, 
sacando la dirección de la pila para seguir la ejecución de código a partir de esa dirección: 
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ir 4 X) KI kat gb S] a | 
DD4ADl Lee EE op BA SIS D 
aa4n0117h ES FDaaaaana 
Ba4miivF ||.  aBca GEHE EAH, EAH 
ae4alisi |). 75 12 Ko SHORT FirstPro. 00401195 
Ba4n11e82 2045 E4 LEA EA} 
66401126 Ep PUSH EAX 
66481187 ES 32610000 CALL 
Ba4n0118c 2045 B4 LEA EHX, 
aa4n118F 5a PUSH EBX 
66401194 ES cFaamaana 
66481195 EE C9 
Ba4n01197 FF?5 AC FUSH 
66481190 ES 49010000 CALL 
@646119F BSE45 BC HOU EAS, 
a1192 Co LEAWE 

C2 1000 RETH 18. -— 
515 EE FUSH ER 
Ba4811A7 SBEC MOL EEF, ESP 
Ba4ai1in2 |. 8370 mc 02 CHP CHE EBRB 2], 
aagaiiAD ||. 75 mc 
aBa4mniinrF ||. 6A oe cue B 
añdaiiB1 ||. ES E48880088 
amdmniibe ||.» ES Snaanamaa 
amdmniiEE ||» 8170 ac 11610666 
Ba4miicz ||.» 75 6C 
Ba4miic4 ||.  8B45 18 ; 
aadaiic? CIES 16 SHR EAH, 16 
gmaamiicn BECA OR ED, EAH 
Ba4ao11cc ~ Pd BE 
Ba4miicE || > SB45 18 MOL EAH, 
aa4n011Di 25 FFFFaaana AND EBXE,BGFFFF 
eae 106 66:30 BETO CHE AX, r Dag 
4 b 


El diez significa dame la dirección de retorno y borra 10 bytes de la pila. 


6.6 Mostrando argumentos y variables locales 


Haciendo doble clic en el registro EIP regresaremos a la línea de código donde paramos 
la ejecución, en la dirección 40102C. Un poco más abajo podemos apreciar varias etiquetas 
azules que dicen LOCAL y una que dice ARG: 





OllyDbg - FirstProgram.exe - [CPU - main thread, module FirstPro] 
[c] File View Debug Plugins Options 
[m|44| X| om TT] 


ae4818880 [rs ¿A as 


Window Help Tools BreakPoint-> 


BE He H e 


PUSH gd 


18) x) 


paa 1 a2 
66461047 
66401 aac 
664681411 
6461413 
66461019 
66401416 
6648141 
6401426 
66441427 
66401420 
664491420 
pia 2F 
66441432 
6401439 
66441044 
Dal ode 
6644144E 
ISS 
6441455 
HE46 1856 
66441462 
640169 
pia ad 
640175 
pina dm 
pita d er? c 
pirata 1 ba 
66461052 
piam 
SE 


ES CFa2unaa 
AS 228304006 
ES DEZ 
6A BH 

FF35 2C304060 
GH nm 

FF35 228304060 
ES meamnanaa 


58 
ES SEBP2BBBB 
aliaa 


1EBBBBBE 


B3304AnE 
Cr45 Fs E 
GI DE Ooooo 

EH HB 

ES hibB2aadd 
8945 ES 

2945 FC 

GD BarFabBad 

GH Bla 

ES Casen 


HOJ DWORD PTR DS: [403828], EAX 
CALL 


PUSH EAH 
CALL 


Registers IF 
AS BR1S1EER 

A BHBBHISFFEH 

4 rCSIEBE394 

is r rFF FUSÃO 

" Bial3aFFBB 
HE1SFFFe 
FFFFFFFF 
Lazaro 

^ Badii 
PUSH EBF . DER 
à ES Ha23 

HOU EBP,ESP Ce GALE 
55 6623 
EISE 
BASE 

5 mu 


CALL ZHP, kecne 132, GetHodu leHandleA> 


PUSH BA 
PUSH DWORD PTR OS: [46834820] 
PUSH à 
PUSH DWORD PTR OS: [4634235] 


LastErr 
D 246, 


empty -U 
j empty EH, 
TE empty 
3 empty 
ST4 empty 
TS empty 
D empty 
d empty 


ST Don 
A! Där 





Pul 
ASCII 22,"E: 


ntdll.KiFastSustemCallRet 


Documents and Settings--usuaria* 


ntdll.res2arsa 


FirstPro. 00940102C elas 


32bit BLFFFFFFFF) 
32bit BLFFFFFFFF) 
32bit BLIFFFFFFFF] 
32bit BLFFFFFFFF) 
32bit TFFDFBBBILFFF) 
NULL 


ERROR_HO_INFERSOWATION_TOREN (666665101 
i HO, HE, E, BE HS, FE, GE, LE} 
Ae Barr mBis5als4a mnamanana 


, H 
a 
3. B 


32140 
j B m 


Un argumento, como hemos comentado anteriormente, son variables que se pasan a una 


función y posteriormente puede que a la pila. Una variable local es una variable que la función 
CALL 'crea' para sostener algo de forma temporal. He aquí un ejemplo de un pequefio programa 
que contiene los dos conceptos: 
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main() 


sayHello( "Manuel"); 


j 


sayHello( String name) 


{ 


int numTimes = 3; 


String hello = “Hello, ”; 


for (int x = 0; x « numTimes; x++) 


print (hello + name); 


j 


En este programa, la cadena "Manuel" es un argumento pasado a la función sayHello. 
En lenguaje desensamblado, esta cadena (o al menos la dirección de esta cadena) sería 
empujado en la pila de manera que la función sayHello pueda hacer referencia a ella. Una vez 
que el control se transfiere a la función sayHello, esta necesita establecer un par de variables 
locales, es decir, variables que se utilizarán por la función, pero que no serán necesarias una vez 
la función haya finalizado. Los ejemplos de variables locales son los numTimes enteros, la 
cadena hola, y el número entero x. Tanto los argumentos como las variables locales son 
almacenados en la pila con la ayuda del registro ESP que normalmente apunta a la parte 
superior de la pila. 


Imaginemos que entramos en la función sayHello y la pila tiene los siguientes datos 
sobre ella: 


1. La dirección de la cadena ‘manuel’ 
2. La dirección de regreso del CALL. 


Si queremos crear una variable local, todo lo que tenemos que hacer es restar una 
cantidad ‘x’ del registro ESP lo que creará un espacio en la pila! Digamos que restamos 4 bytes 
de ESP. La pila tendría entonces el siguiente aspecto: 


]. Un nümero vacío de 32-bit 
2. La dirección de la cadena ‘manuel’ 
3. La dirección de regreso del CALL. 


Ahora podríamos poner todo lo que quisiéramos en esta dirección, por ejemplo, 
podríamos pasar la variable numTimes a nuestra función sayHello. Ya que nuestra función 
utiliza tres variables (todos de 32 bits de longitud) realmente restaría 12 bytes (o OxC en 
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hexadecimal) de ESP y entonces tendriamos tres variables locales que podriamos usar. La pila 
quedaria entonces de la siguiente manera: 


Una dirección vacía de 32-bits que apunta a la cadena ‘hello’ 
Un número vacío de 32-bits para la variable ‘x’ 

Un numero vacío de 32-bits para la variable ‘numTimes’ 

La dirección de regreso del CALL. 


pel dE 


Ahora, la función sayHello puede rellenar, cambiar y volver a utilizar estas direcciones 
para jugar con nuestras variables, y todavía tiene el argumento pasado en el primer lugar (la 
cadena "manuel"). Cuando sayHello termine, tiene dos maneras de eliminar estas variables y 
argumentos locales (ya que no serán necesarios después de que la función haya sido ejecutada) 
y restablecer la pila de nuevo a la forma en la que estaba: 1) puede cambiar el registro ESP de 
nuevo a su estado original o 2) utilizar una instrucción especial RETN con un numero después 
de ella. En el primer caso, para que el programa pueda recordar cuál era el valor original de 
ESP, utilizará otro registro, EBP, cuyo propósito es hacer un seguimiento de la ubicación 
original la pila cuando entramos en la función sayHello por primera vez. Cuando esté listo para 
regresar, simplemente copia el valor original de EBP nuevamente a ESP y las variables 
desaparecen. La dirección de regreso está ahora en la parte superior de la pila, y cuando la 
instrucción RETN se ejecuta, utilizará este valor para volver a nuestro programa principal. 


En el segundo caso, podemos decirle a la CPU la cantidad de bytes que no son 
necesarios en la pila para eliminarlos de la parte superior. En nuestro caso, usaríamos RETN 16 
(OxF en hexadecimal) y esto desharía los primeros 16 bytes (o 4 nümeros de 32 bits) de la parte 
superior de la pila, dejando la nueva parte superior de la pila con la dirección de retorno para 
volver a nuestro programa principal. El tipo de retorno utilizado generalmente depende del 
compilador. 


Volviendo a nuestro programa FirstPro.exe podemos ver que Olly ha descifrado un 
argumento y 12 variables locales. Estas variables locales son usadas en nuestro programa para 
realizar un seguimiento de cosas como la dirección de nuestro icono, la dirección del buffer para 
nuestra cadena de texto, la longitud de la cadena de texto etc, Cuando termine, sacará estos 
valores de la pila, cambiará el registro ESP de nuevo a EBP o RETN con un nümero. 
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6.7 Ollydbg Cheatsheet 


Program 


Windows 
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Capitulo 7 


EJERCICIOS RESUELTOS 





7.1 Caso practico 1: buscando cadenas de texto 


Cargamos fake.exe en Olly, y lo primero que haremos es estudiar el comportamiento del 
programa pulsando F9. 
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=18) x| 
=18) x! 


OllyDbg - FAKE.exe - [CPU - main thread, module FAKE] 


[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 
el dd sl KI "6 de al 
5H Hd PUSH o [Had Le = HULL E 
ES 03820088 GetHodu LeHand LeH 
H3 Tuam Hou DWORD PTR OS: (4638761, EAS kernel32.7rC8B34FC 
ES CSb2h88 CGet CommandL (nen 
GH PUSH HA Brad = Beez 
Hraz DOHEIIE) 
Argl = DÉADDDDp 
FAKE. 4644614820 
Es itCode = rCS8B34FL 
Ex itProcess 





Running béi 
664416864 
piam 
Be4h1 Be? 
66461660 
66401611 
He4e1615 
Be4e1619 
He4h161B 
66401621 
66401025 
BadaiBz- 
66401620 
66481420 
Bada1BzF 
Ba4a14832 
646010833 


Registers [FPLÍ 


FCS634FC kernel32. PCSRS4FC 
FCSHBS29 kernel32.lstrompiH 
1640482388 Epehk. 10642304 
DGDDDDDD 

BEISEFS4 

mal3rais 

micceada 

DGDDDDDD 


rCSIEBE94 


ES z3 
CS DIE 
55 H3 
Ds nma23 
FS BSE 


E Our Main Window-Win4asm 


File Register 
ntdll.KiFastSystemd 


32bit &LFFFFFFFF! 
B2bit BLFFFFFFFF! 
32bit BLFFFFFFFFI 
32bit BLFFFFFFFF) 
32bit TFFOFSee( FFF) 


66481044 
664414847 
BEd 164E 
6644816855 
BE461855 
664414656 
BE461862 
664481062 
Hp) CH 
BA4e1e7S 
maaadlar? 
Be4e187C 
BE48187F 
BE461852 
BE481857 
66441052 


FAKE.<HoduleEntuPoint; 


2945 FC 

62 H/E 
GH Ba 

ES &4620868 


A mo 


ntdll.7C92D23E 


ASCII "FirsthHenu" 
ASCII "Simpleldintlass" 
Rerchame = IDI_APFLICATION 
[^ins: = NULL 

LoadIconH 
kernel3z2.708834FC 

HOL S kernel32.7r0C8B834FC 

PUSH FRE RercHame = IDC BHRRül 

PUSH & [^ins: = HULL 

CAL LoadCurzsarH 


L. ee e LH o Car]uaarasa A EC: 


Address [Hex dump SCT 


pads 
6644348148 


EEN 


SimpleWwWintlass.0 
ur Main Mindo! 
inHzm.Firzthenu. 
Mublialog. That ze 
rial is incorrec 
t.That serial iz 
Ic um 


Command -| 


Module CAM IND OWS sistema sbpkhk. dil 





ms BEBE 


LastErr 
Pe SS a Ss 


HULL 


ERRORZFILE_NOT_FOLI 
(NO, HE, HE, B, HS, PO, D 


emprt uy 
empt u 
Empty 
eMpty 
empty 
emprt uy 
empt u 
emprt uy 


BABE 
BerF 


pai3rFFCA 
BBISFFCS 
BE1SFFCC 
He 1 SFFOR 
Be1SFFO4 
Be1SFFOS 
He SFFOC 
He 1 SFFER 
He 1SFFE4 
palsFFES 
Eia 


-59,234923r556/88H385548H 


-UnüRM Beas maga 
2218H 


ES 


Cond 0 0 B A Err mH H 
Prec HEHB,53 Mask 


TCBIGD4F 
REES 
FFFFFFFF 
"FFDaBaa 
S0543DFD 
BaÍSFFCS 
81754DA8 
FFFFFFFF 
DEE EE 
"CB16D58 
papae 


RETUR 
ntdl | om 





Vemos que aparece una ventana para registrarnos. Hacemos clic en “Register” e introducimos 
un serial cualquiera. 





Enter Registration code i5 f 
[ 23455789 


Exit | 


Pulsamos Enter Serial y obtenemos la siguiente respuesta: 


Enter Registration Cade 

















Exit | 
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El primer método que utilizaremos para seguir la rutina de comprobar un serial se 
denomina: 


Searching for all text strings 


A través de este método Olly se verá invocado a buscar dentro del espacio de la 
memoria de nuestro programa cualquier cosa que se parezca a una cadena ASCII o Unicode. 


Comprobar las cadenas de texto nos puede dar información valiosa sobre la estructura 
de un binario. De hecho podemos averiguar si el binario se ha empaquetado o protegido de 
alguna manera, o si se trata de un binario malicioso. 


Hacemos clic con el botón derecho dentro de la ventana de desensamblado y 
seleccionamos “Search for” -> “All referenced text strings”. 


Backup : Lëcrcpodu LeHandleR 
kernela2.rCc8034F 
Copy V CGetCommandL (net 
anar EM 
rg = 
Hraz = HDD 
Assemble Space Argl = Bm4BBBBaG 
abe ac ee 
HitCode = 
Comment e Ex itProcess 
i 
Breakpoint d 
Hit trace + 
Run trace + 
New origin here Chrl+Gray * 
yuserdzarrolsrFF 
Go ka + 
i ASCII "Firsthenu 
Follow in Dump d a EMT 
View call tree Chri+k [^ Teg E TRE 


Search Far 





Find references to 

View 

Copy to executable 

Analysis 

Help on symbolic name Ctrl+F i 


Analyze This! 


ID 4Ficator 
? 


Appearance 





WS Veustems2.bpkhk. dii 





LoadIconH 


d Mame {label in current module Ctrl+M 
k Mame in all modules 
Ld 
: Command Ctrl+F 
: Sequence of commands Ctrl+5 
Constant 
Binary string Ctrl+B6 
: All intermodular calls 


All commands 

All sequences 
k Al constants 
All ewtche 


All referenced text strings 


I I-ar-daFinad lahal 
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Se abre una ventana con todas las cadenas de texto que Olly haya encontrado en la 
memoria del programa. 


Text strings referenced in FAKE:.text S - [B] x] 





Address |Dlizassemblu Text string A 
444616464| PUSH 6 (Initial CPU selection) 

64461662| MOL CLOCAL.3], FAKE. 66463626 ASCII "FirzthMenu" 

He461669) MOL CLOCAL.2], FAKE. 64443644 ASCII "SimplelinClazz" 

HALL) PUSH FAKE. S6463566F ASCII "Duc Main Windaw-WinBHam" 

BHe4618C1) PUSH FAKE. DpaoO20GDp ASCII "Simpleldintlas=" 

BHe461141) PUSH FAKE. #6485838 ASCII "Hubialog" 

664611EF | PUSH FAKE, #6485678 ASCII "1234556722" 

664461222) PUSH FAKE, Dao 20, 2 ASCII "That serial is correct t ttt ale 

64461236| PUSH FHKE.tüadm3m39 ASCII "That serial is incorrect" 


Al] el 4 


Hacemos doble clic en “That serial is correct” y Olly nos lleva al código desensamblado 
dentro de la ventana de desensamblaje. 


OllyDbg - FAKE.exe 
File View Debug Plugins Options Window Help Tools BreakPoint-> 


10 lx] 






























a m" " " " " BR en 1 DR 
Running — "dd X| KI ee E | oa ES 
CPU - main thread, module FAKE - [BJ > 
A64a1104 Oe FE 1A E 
46461106 . GA BE PUSH & lParam = 6 = 
664481105 . BH HA PUSH & uFaram = B 
464611048 . 6A 1H PUSH 18 Message = Wr CLOSE 
66461100 =. FFrE DÉI PUSH hind = HULL 
4646110F . Es CGBBDDGD SendNessageH 
He4611E4 EB 62 
664611E6 » 3D ESBBRRBEA CHP EAR, SEBS 
4al 1EE Oe FE BB Em 
464611E0 . A 64 PUSH Ed Count = 64 (146,1 
He4611EF . Dë FSSE40508 PUSH Buffer = FAKE. 66463075 
a64a11F4 . 68 ESBBARBA PUSH DP ControlID = BBS (3666, 1 
SSES , FFrE 65 PUSH hind = HULL 
He4611FC . Es S58u8aadad CALL GetOlaltemTeztA 
66461241 . 2610 783848058] HOU EBS, OWORD PIR DOS: [443672] 
a64a1l247 . BS6FE 61 CHP BL,&1 
6441244 ww FS 2A Do not Jump 
a64a1l24C . SBID 79304006 HOU EBS, DWORD PTR DS: [4430679] 
He4e1i212 . SBFB 62 CHF BL,&- 
He4e1i215 Oe FE 1F 
Hed4eiei7 . 2610 Zap HOU EBS, DWORD PIR OS: [4434rA1 
He461210 . BBFB 63 CHP BL,&53 
66401224 ww FS Lë 
64681222 . 58 52384008 PUSH Text = "That serial is correct ttttt™ 
He4e1227 . 62 ESBBARBA PUSH BEBES ControlID = BBS (3606, ] 
64681220 , FE DÉI PUSH hind = HULL 
HE46122F . Es vCRBDDGDD SetOlaltemTeztA 
DAD 224 we EB 12 
46441236 2 DÉI 39704564 PLISH Text = "That serial is incorrect" 
6401235 . 6S BDO PUSH HEBES ControlID = BBS (3606, 1 
a64a1244 . FFFS 68 PUSH hind = HULL 
64681243 . Es 68666088 SetDiLaltemTeutH 
pgdm1248 -. EB H3 
Emda1z4m > ES mua MOL EAS, & 
He46124F . EA LERUE 
66401250 . Ce 1066 s 
DA 22 > BS mima HOL EAR, 1 
64601255 . Co LEANE 
He4e1i259 . C2 i666 18 
66441255 5- FF25 52204008 DWORD PTR DS: Cééuserse.CreatelWwindo,y, user3z.CreatellindowEZH 
AB4h1 262 $- FF25 5620440 DOUD PTR DS: Ceé&userse.0DefllindowPrq users3z.DeflWindowFrocH 
66441255 $- FF25 4020400 DWORD PTR DS:Dx&user22.Destroulindaà users2.0estroyWindow 
a64A1-5E $- FF25 22044604 DOUD PTR DS: [<Eusecaz.DialogBozPa usec32.DialogBosFaramA 
644127 $- FF25 102040068 DWORD PTR OS: [¿Eusec3z.DispatchMess usera22.DispatchhHezszaaeH 
b4al=7HA $- FF25 14204066 OWORO PTR OS: C<8users2.End0Dialog?]| usersz.EndDialog 
664612540 $- FF25 12204066 OWORO PTR Os: Ci&userSe.GetOlagitem?] users2.GetOlgiten 
46401256 $- FF25 12040016 DWORD FTR DS: Cituserd2. GetOlgltemTe userd2. GetOlgltemTextA A 


|| E _ m 
Command -| 


Module CXMINDO 5 sistema sbpkhk. dll | 


Cabe mencionar en este punto que todo mensaje (bueno o malo), va estar precedido por 
una comparación, o una instrucción CALL cuyo resultado nos llevará a coger un salto hacia el 
mensaje bueno o malo. 
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En nuestro caso el primer salto es un JNZ en la dirección 401220. 








Baa4pBis2n8 ||.-.-75 14 MZ 
PUSH 












6441222 BS 52304660 Text = "That serial is correctttttt" 
Ha461227 . | 68 BG PUSH BBS ControlID = = BES (S888, | 

4al 22E . | FF?5 68 FUSH hind = MULL 

Ha46122F . | ES vCBDDDGDD SetOlaltemTextaA 

HAL 224 wel EB 12 

6401236 2 2468 39204000 PUSH Text = "That serial is incorrect" 
Ha46125B6 . 68 ESOBHHHA PUSH HBES ControlID = = BBS (3664, 1 

66401244 FF?5 68 PUSH — hind = NULL 

6401243 ES 68600008 CALL SetDloltemTextA 


Vemos que el salto nos lleva directamente al mensaje malo “That serial is incorrect”. 
Fijémonos pues en la instrucción justamente anterior al salto. En este caso estamos ante una 
instrucción de comparación (CMP) cuyo resultado podría determinar si vamos a saltar hacia el 
mensaje bueno o malo. 


En realidad hay tres combinaciones de CMP/JNZ, la primera en la dirección 40120A, la 
segunda en la dirección 401215 y la tercera, como acabamos de ver en la dirección 401220. 
Estos tres saltos nos van llevar directamente al mensaje malo (401236). Si queremos podemos 
anotar un comentario al lado de cada instrucción de salto. 


HOW EE, OWORD PTR OS: [483475] 
CHP BL,61 


dig Ho saltar b — 
HOW EBR,OWORD PIR OS: [4636719] 
CHF BL, Ga 


Ho saltar an | 
HOLD EBs, OWORO PTR DS: [46=347A1 











CHF BL,&3 
JHZ SHORT FAKE 00401236 No saltar 
PUSH Text = "That rial iz correct ttttt™ 
PUSH BEBES ContralID = = BES L SHH, 1 
PUSH hing = HULL 
SetOlgitemTextaA 
PUSH 





PUSH BBBS 


CALL SJMF. fuserS2. SetD igltenTenth> 


A continuación ponemos un Breakpoint en la dirección 401201, pulsamos F9 y 
nos vuelve a salir la ventanilla, introducimos un serial y le damos ok. 


ControlID = BBS (S888, ] 
hind = MULL 


[es = "That serial is incorrect” 
SetOlgitemTextA 


Olly se detendra en nuestro Breakpoint. 






SB10 7ese4ea8 HOU ERR, OWORO PTR OS: 1443418] 





¡Els . SFB 61 CHF BL, Gi 

¡El e FTE ZA JM? Mo saltar 
4E 5610 719344644 HOW EBZ,DWUDRD PTR DS: (483879) 

El: SFE 62 CHF EL,62 













Ade w FE 1F JHZ Mo saltar 
¡EN 52610 rA344664 MOL EBx, DWORD PTR Ds: E48387H1 
¡El SFE 63 CHF BL, 63 
dt Oe YE 14 Ho saltar 
É 65 523404664 PLISH Text = "That serial is correctttttt" 
¡El es BO PUSH BBS ControlID = = BBS (3664, 1 
ET FF?5 D 
¡EN ES vCDDDDDp 
¡El ~ EB 12 


E 
ES 


> 68 395304000 
. 68 BBBBBBBH 


FFrS ma 
ES 68660888 


E 
=, 


PUSH BBBS ControlID = = BBS (300ġ. 1 
PUSH hind = DOG ("Enter Registration Code", class="4327r 7106" 1 
CALL SetOlaltemTentA 


LA 


= 
DS TS SS SS Sa LS oS ad 


T cs Ee E a a a a Ee ee E UG Eo] 
[IR Ein Ee E a aa a Ee Eo HE E o ew E UG Fen] 


FLISH hind = BRESEGFS ("Enter Registration Code',class-z'ias2rrü') 
SetOlgiltemTextaA 
PUSH Es it = "That serial is incorrect" 


E 
Ka 
LA 


Analizemos esta instrucción: MOV EBX, DWORD PTR DS:[403078] 


Para ver el contenido de la dirección 403078 en la memoria, hacemos clic con el 
botón derecho sobre la instrucción y seleccionamos “Follow in Dump” -> “Memory 
address" 
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En la ventana Dump podemos ver el resultado de nuestra busqueda: 


GEES EE - 
‘| | b 


¡En la dirección 403078 se encuentra el serial que hemos introducido! 





De la instrucción anterior podemos entonces concluir que se han cargado los 
cuatro primero bytes de la dirección 403078 en EBX (31 32 33 34 en hexadecimal y 
1234 en ASCID. 


A continuación pulsamos F8 y comprobamos el valor de EBX: 


Registers [FFU] d d d 


EAs DD 
EL a rrOsFesF usera3z.rrDsFasF 


EDS v"C91EB94 ntdLl.EiFastSuztemCallREet 
EBs 34333231 | 
ESP BHaHl13F9FS 


EEF H1SF3F3 
ESI 66461175 FAKE. 86461175 
EDI 4H1SFH68 


EIF 66461267 FAKE. 66461287 


CH ES 825 32bit BCFFFFFFFF) 
F1 CS üBIB 32bit BrFFFFFFFF1 
Hu 3S5 DZ 32bit BrFFFFFFFF1 
CH OS 6623 32bit BIFFFFFFFF1 
E i FS BASE S2bit vFFDFamatFFF1 
O B 
o a 





G5 maa HULL 


LastErr ERROR_SUCCESS (mma 
EFL 66666256 (HU, HE, HE, A.S, FPE, L, LE! 


STH empty —4.411285805b5214B87985954860-117828 
511 empty H, BDO 23295-4933 
ST2 empty +UHORMN 1FS6 bee’ eeDE BERBER 
STS empty 6.31r125392513r69541He-4932 

514 empty -UNORM S628 BEEERESE SC 
STS empty +UNHORN Ba3B BE1SFCD4 DD 
STE empty -UNORN FCCC mBaaaagzhz Dol 
SIF empty H, S26s8466422 2292 75s3Re—-4933 


3210 ESPUOÉO 
FST pn Cond HE AH Err HHH BeBe CGT) 
FCW @2°F Prec HEHR,53 Mask Ib Tap 


Para ver el valor de EBX en ASCII basta con hacer doble clic sobre el registro: 


Hexadecimal 


Signed a 
Unsigned [87577041 ? 
Char [4 [3 [2 [i 


een | 
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Nota: El término inglés endianness ("extremidad") designa el formato en el que se 
almacenan los datos de mas de un byte en un ordenador. El problema es similar a los idiomas 
en los que se escriben de derecha a izquierda, como el árabe, o el hebreo, frente a los que se 
escriben de izquierda a derecha, pero trasladado de la escritura al almacenamiento en 
memoria de los bytes. 


No se debe confundir trivialmente el orden de escritura textual en este artículo con el 
orden de escritura en memoria, por ello establecemos que lo que escribimos primero lleva 
índices de memoria más bajos, y lo que escribimos a continuación lleva índices más elevados, 
que lo que lleva índices bajos es previo en memoria, y así sucesivamente, siguiendo la 
ordenación natural de menor a mayor, por ejemplo la secuencia {0,1,2} indicaria, -algo más 
allá de la intuición- que 0 es previo y contiguo en el espacio de memoria a 1, etc. 


Usando este criterio el sistema big-endian adoptado por Motorola entre otros, consiste 
en representar los bytes en el orden "natural": así el valor hexadecimal Ox4A3B2CID se 
codificaría en memoria en la secuencia [4A, 3B, 2C, ID]. En el sistema little-endian adoptado 
por Intel, entre otros, el mismo valor se codificaría como [1D, 2C, 3B, 4A}, de manera que de 
este modo se hace más intuitivo el acceso a datos, porque se efectúa fácilmente de manera 
incremental de menos relevante a más relevante (siempre se opera con incrementos de contador 
en la memoria), en un paralelismo a "lo importante no es como empiezan las cosas, sino como 
acaban. " 


32-bit integer 
OAOBOCOD 


32-bit integer 
OAOBOCOD 





Memory 






Big-endian L ittle-endian 


https://es.wikipedia.org/wiki/Endianness 


De vuelta en la ventana del registro EBX, podemos observar que la representación hexadecimal 
está en Little-endian. 


En la siguiente instrucción comparamos BL que es el primer byte del registro EBX con 
el valor hexadecimal 61. Si el contenido de BL no es igual a 61, saltaremos al mensaje malo. 


Volviendo al registro EBX podemos observar que el áltimo byte (BL) no es 61 sino 31, 
así que saltaremos al mensaje malo. 
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Pulsamos F8 y nos situamos en la instrucción JNZ SHORT FAKE.401236. Vemos que 


aparece una flecha roja en la columna de los opcodes. Esta flecha nos indica dos cosas: 1) si es 
roja (como en este caso), entonces se va a tomar el salto (si la flecha fuese gris, no tomariamos 


el salto) y 2) nos muestra el destino de dicho salto. 







464411085 
Be461 108 
aagal LOC 
a646110F 
664611E4 
464411E6 
46441 LEB 
66461 LEO 
aagal EF 
aagal iF4 
BARI 1F9 
BAe LEC 


DOT 20 d 
66401204 
604012480 
Dal 212 
Dap) 21 
Dal 21 
Dap) Z1D 
Dap) 279 
DAD) 223 
Dal 224 
Dap) 22C 
Dap) ZE 
Dap) 224 
60401236 














6A BH PUSH El 
GH 18 PUSH 18 
FF?5 Ba PUSH 


ES cepennee 
* 30 Goreng 


ki 
av do T 


Ed 
68 70304000 
68 Poobooog 
FF75 B8 

ES B&caBaaang 
SB1D 78304000 


12610 75364000 | 
GZ 


SAFE 


1F 
-m rBHaa4aons 
GEB 63 


r5 14 

68 52304006 
68 Ba8BBBnmnBg 
FFrs D 

Grade EISES 
EB le 


65 39304000 


















CHP EAH, BBB 
PUSH 64 
PUSH OPE 
PUSH 






CALL 
MOL EBX, OWORO PTR DS: [443078] 
CHP BL, 61 


JH 
MOL EBS, DWORD PTR DS: [463479] 
CMF BL,62 


JHE 
MOLI EBS, DWORD PTR DS:Lr4838?H1 
CHF BL,6&3 








PUSH 
PUSH DP 


BASH 1 256 
Bpaaanis4a8 
Badg4nis42 


aa4B124A || > 


rar ad dr 


rr 





EE E OC 

, ES 6 
Bamgdai248 || ze EB 69 
ES 5) 515 [5151515] 






PUSH DP 
PUSH 
DDDDOp 





Hau ERA, B 


L Fail 


PUSH ug 
PUSH 


WParam = HH 

Message = H CLOSE 
hind = Goor 
SendMes=ageH 


Count = 64 (188, 
Buffer = = FAKE. ob4n3078 
ContralID = = BBS (3684, ) 


hind = BaasaarFe ¡"Enter Registration Code" ,class="+32776" 1 


GetOlaltemlextA 

Ho saltar 

Ho saltar 

Ho saltar 

Tent = "That serial is correctttttt" 
ContralID = = BBS [3008.1] 

hiling = BaasaarFa ['Enter Registration 
SetDlgItemTexthH 

Text = "That serial is incorrect" 
ContrelID = = BES [ S664, J 

hind = Bagagara ("Enter Registration 
SetDlgltemTextA 


Code" ,class="#S27°7H" ] 


Code", clases 


43277 
#32778") 


La misma información obtendriamos si miramos en el espacio que hay entre la ventana 
de desensamblaje y la ventana dump. 


^ 
UA 








f. lump 


LS taken 


EB H9 
ES BEEBE 


BE4612536=FAKE. 16441236 


= S 

oo) HE Be Gë Go Hp B m He 

H DÉI 64 Be) 66 66 D 46 
H 





= 





E 


Idi 
È 


T D CRI CDI 
TO E D 


H ma 6/66 D D na 





MOL EAS, H 


Lair 









TED iE RD RS 
T5 I RT RI 


P Cg C rs 
















a 
a 
aa 
a 


GGG 


GA c a 
barn ci 





El siguiente paso sera decirle a Olly que no salte. Para ello, dentro de la ventana de los 
registros fijémonos en la bandera Z. En estos momentos el valor de Z es 0, o lo que es lo mismo, 
después de comparar el valor 61h con 31h, Olly dedujo (correctamente) que ambos valores no 
son cero y por tanto la comparación es FALSE. Para convertir la comparación en TRUE basta 
con hacer doble clic sobre el cero: 


Registers [FPU] 


EAs DD 
ECs rrDSFSSF 
EDs P"CSIEBS34 
EBs 24223231 
ESP HH1SF9FS 
EEF 81SF3FS 


Weerse. rr 03F895F 
ntdll.KiFastSystenmnCallRet 


ESI 66461175 FAKE. 86461175 

EDI 441SFH68 

EIF 6646126H FAKE. 6646126 

C 1 S 6623 S2bit BIFFFFFFFF )! 

FB 5 BalB S2bit BIFFFFFFFF 

H 22 Bes S2bit BIFFFFFFFF) 

CL DS 6623 32bit BIFFFFFFFF 1 

51 FS S836 S2bit rvFFDFaaarFFF1 

l a GS Bee HULL 

0 B LastErr ERROR SUCCESS (amamaana) 


EFL GZ 


bl eETESBETSOEBPMESBET 


El valor de Z es ahora 1, y la flecha roja cambio a gris. Sabemos entonces que este salto 
no va a ser tomado. 
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aX] KU ii al" a a == EERIE 













BE461103 ||. ¿A aa PUSH & wParam = H A 
B64B11D0A ||. £A 16 PUSH 16 Message = pierces 

BA461100 ||. FFr5 ES PLISH hind = smars 

BE4G110F ||. ES Cemaanman SendMessageh 


Be4H11E4 || .. EB 62 
BE4H11E6 || > 20 BIBER 
B64B11EB ||.» r5 5B 
BE4H11E0 ||. SA 64 


CHF EAS, DEZ 
PUSH 64 







Count = 64 (166, 1 
He4611EF . 8 7304006 FUSH Buffer = FAKE. ġpø4ġ03675 
664011F4 . 6S BSRBRREE PUSH HBBS ControlID = BES [3066,1 
6644411F9 » FFFS H8 PUSH hind = HEESBRFS ("Enter Registration Code',class-z's3zrvü") 


b604B11FC ES Sb 


SB1D peers (alle 


mIE = 


BetDlaltemTestH 






HOU EBS, DWORD PTR OS: [44347181 
CHP EL,61 


i3 dne 
SB1D r9384060 MOL EBS, DWORD PTR OS: [465679] 
dedo Ga CHP BL,&2 


SB10 vH3845888 MOL! EBX, DWORD PTR DS:r4s8387Hl 
SAFE 63 CHF BL,63 


EE RE 


Ho saltar 


Ho saltar 







Ho saltar 


YE 14 
BS 5304066 FUSH Text = "That serial is correctttttt'"" 
523 BSHBRREE PUSH BES ControllD BBS [3066,1 

d FFrs ma FUSH hind = ARASBAFS ("Enter Registration Code", ,class="$32r7bB" J 
He46122F ES FCHREREE SetOlgltemTexthA 
Ha4e1254 EB 12 
4401236 65 32204006 PLISH Text = “That serial is incorrect" 
66401236 A PUSH BBBS DControlID = BBS (3664, 1 
668401240 ll al tE PUSH hind = BHESGEFS ("Enter Registration Code", class=" #3277H" 1 
a e = eamm SetDlaltemTestH 


^. EB D 
664481248 11 BS DPP 
E 





HO EAR. H 


cwm 
Fs y Been Benn Bam Been Been Se | 


Le HL a 
Búdb1236- FAKE. 00401236 


Address | Hist eege ASCII aaisFore TEE 

IEEE TEENE EA —SSG1SFSFC || 77018709 [RETURN to usc 
podala 7S 72 20 4D el Es EE Sal EF £3 EE edler 7 20 ET ur Main Window- cor EROR Bee 

BüdB3H2H|69 6E 41 r3| 6D 00 46 69 72 73 74 40/65 6E 75 00 inAsm. FirstMenu. SE bës 

Ga482020l 40 79 44 69/61 EC EF 67/00 54 68 61/74 28 v3 ep | MyDialog.That se eee eee oer 

BB4B3B4H|v2 69 61 60 [20 69 r3 20/69 6E 63 6F|T2 72 65 63| [rial is incorrec Bete ee Ecrire MEM eM PRI. 
BB4BaB5H|v4 BB 54 68/61 74 28 73/65 72 63 61/60 28 69 73|  |t.That serial is | esca . 
BüdB3SB6H|zB8 63 6F 72 rz 65 63 74/21 21 21 21|21 60 00 oo correct ttttt, | Peer 

S CEFFEEFEEEGEEXEEIT SE SE e 

aaqezosa| FG aa BB op op ae ma oo op BB op BG op BG BB op EE mg SS1SEAES LS ies = |FHKE.ma48llr 
4 + 4 + 


Pulsamos F8, y llegamos a la siguiente instrucción. Aqui EBX va a ser cargado con el 
segundo carácter de nuestro serial para posteriormente ser comparado con el valor 62h. 
Sabemos que el segundo carácter de nuestro serial no es 62h, por lo tanto saltaremos al mensaje 
malo a no ser que tomemos las precauciones necesarias. ; Hacemos doble clic sobre el valor de 
la bandera Z para sustituir el cero por un uno! 


Antes del ültimo salto se comparan el tercer carácter de nuestro serial con el valor 63h. 
Y como sabemos que no son iguales cambiamos el valor de la bandera Z por ültima vez. 


Pulsamos F8 para situarnos en la dirección 401222. A partir de aquí no hay ningún salto 


más, por lo que o bien seguimos pulsando F8 o pulsamos F9 para ejecutar el programa y llegar a 
la conclusión de que: 


Enter Registration Cade 2/0) xi 


[That serial is correct! ` ` 
Exit | 
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Reflexiones finales 


¿Qué ocurriría si tomo los tres valores de las comparaciones, los convierto de hexadecimales a 
ASCII e introduzco el resultado en la ventana de registrar? 


Cargo el programa en Olly y busco los valores de las comparaciones: 


MOL EBS,DIMORDLPTR OS: [4463478] 
CHF BL, 61 


E 
NOW EB, DWORD FTR DS: [4083079] 
CMP BL,&2 


NE 

NOW EBR, DWOROPTR D5:L48387H1 
CMP BL,62 . 

JNE 


Tenemos por lo tanto en hexadecimal: 61 62 63 














Hacemos doble clic sobre un registro cualquiera para convertir el valor en ASCII. 


Modify EAX es 
Hexadecimal ei — 5 
Signed [382178 ` 
Unsigned [53821 73 


cance 


Pulsamos F9 para ejecutar el programa, y nos registramos con el serial: abc. Hacemos clic en 
"Enter Serial" 


Enter Registration Code | Biel xj 


a 
abe 
Exit | 





Enter Registration Code - [m] x] 


Tat serial is cones ` ` SSC 
Exit 





Conclusion: No solo hemos llegado al mensaje bueno, sino que fuimos capaz de sacar el 
serial autentico y todo ello sin hacer modificaciones en el código del programa. 
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7.2 Caso practico 2: Parches 


Abrimos Olly y cargamos Crackme2.exe. Pulsamos F9 para estudiar el comportamiento 
del programa. 


KeyGen Me 2 - ETo EE zl 
= 
User 


About | 
Seral | 
Check. | 





http: A" kito. zor. org 





Como podemos ver se trata de un programa estándar. Rellenamos los campos en blanco. 


KeyGen Me 2 - KTo E xl 


E mit | 
User [manuel 
About | 
Serial 123455788 
| 


http: A" kito. zor. arg 


Hacemos clic en “Check”. 
Doht x 
X) Bad Boy! 


Empezaremos a utilizar nuestra primera e única herramienta (que conocemos hasta 
ahora), para analizar el código del programa: dentro de la ventana de desensamblado hacemos 
clic con el botón derecho y seleccionamos “Search for” -> “All referenced rext strings”. 
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OllyDbg - Crackme?.exe - [Text strings referenced in Crackmez:.text] E m |E | x] 


IR| File View Debug Plugins Options Window Help Tools BreakPoint-> - [8| xl 
o n" n" " n" D BR en 1 HEN 

Running ix déi Wl e "ot IS oa s= in" 

Address |Disassembly Test string al 

664610390) PUSH Crackmez, BAD 268 ASCII "Doht" 

Dal DOE PUSH Crackmez. DA CTIE ASCII "Gimme atleast 4 letters...” El 

He4616CB) PUSH Crackmez.tBmadad?lES ASCII TRAS 

HE4616EF) PUSH Crackmez, Ap r1EH4 ASCII "leet" 

a64414F4| PUSH Crackmec. Ba467198 ASCII “Good Eoutan If this key is from your keygen u should write an solutiont" 

HE46116F) PUSH Crackmez, BAD 7209 ASCII "Laoh*" 

HG461114) PUSH Crackmez, 66467188 ASCII "Bad Boyt" 

Hl461133| PUSH Crackmez, b6467158 ASCII "Info" 

66441135| PUSH Crackmec. DAD DER ASCII “"KeyGente 2 coded by KiTo+=n*n Rules: Please, try to NOT patch.-n*n kito_leetGhotme 

He46126E) AHO ESI, FFF [Initial CPU selection] 

a64681085/ PUSH Crackmez.tmdgdia72n4 ASCII "mscoree. dll" 

Dal DP PUSH Crackmez, BAD 224 ASCII “Cores itProcess”™ 

a64A1FCE| PUSH Crackmec. DAD end ASCII "<program name unknown?" 

Bpmadmzum)1|FUSH Crackmez.tBmadad?e6nd ASETI I 

a6442435| PUSH Crackmez. DAD Ga ASCII "Runtime Excoctan+*nProgrami " 

bd6B26047| PUSH Crackmez, BAD 7658 ASCII "*n*-n" 

a6442463| PUSH Crackmez. DAD GE ASCII “Microsoft Visual C++ Runtime Library" 

He4631F4|) PUSH Crackmez, BAD CG ASCII "userc32.dll" 

HE46326F) PUSH Crackmez, DAD CA ASCII “"Nessagebox A" 

Ba4es228| PUSH Crackmez, BAD CC ASCII "GetAct ivellindoaw™ 

a6443228| PUSH Crackmez, DAD 20 ASCII “"GetLastAct ivePopup"" 

a64dA43243| PUSH Crackmec. DAD CC ASCII “"GetUserOdb ject Informat ionA" 

a6443254| PUSH Crackmez.tmmdad"BF4 ASCII “"GetProcessllindoawSt at ton" 

a6444F60| HOW EDI, Crackmez, 646 70E4 ASCII "Unknown security failure detectedt™ 

a6444F12| MOL! DOUD PTR SS:EEBPF-128],Crackm ASCII "A security error of unknown cause has been detected which has“ncorrupted the prac 

DAD 23) HOW EDI, Crackmez, b6467018 ASCII "Buffer overrun detectedt™ 

Dap 25) MOL! DWORO PTR SS: CEBP-128)],Crackn ASCII "A buffer overrun has been detected which has corrupted the program” s*ninternal st 

a6444F51| PUSH Crackmec,. DAD end ASCII "<program name unknown?" 

He464F 92) PUSH Crackmez.tmddd?76nmu BSE DIS IS 

AB464FC2| MOL EDI, Crackmez, 66467658 ASCII "nn" 

Be464FCE| PUSH Crackmez, pd dd ASCII “Program: " 

He464FFS) PUSH Crackmec. DAD ASCII "Microsoft Visual C++ Runtime Library" 


De la ventana anterior podemos extraer la siguiente informacion: 
> El serial tiene que tener un mínimo de 4 caracteres. 


60481095) PUSH Crackmez. 00447 1EC | ASCII "Gimme atleast d letters..." 


» Sabemos dónde localizar el “good boy" y el “bad boy". 


Be4616F4) PUSH Crackmez.tmiada?l923 ASCII "Good Boyut*n If this key is from your keygen Y should write an solutiont™ 
BA46116F) PUSH Crackmez. DAD 202 ASCII "Doh*t" 
66441114| PUSH Crackme2. DHA ASCII "Bad Boyt" 


Hacemos doble clic en el “good boy", lo que nos lleva a la dirección 4010F4 en la 
ventana de desensamblado. 





OllyDbg - Crackme?.exe - [CPU - main thread, module Crackmez] m 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> -|| x 
Running (da X] Kill BA A zm? 


664015060 GER TEST EAs, ERA kernel32, PCSES4FC 


A E "m maaa 
34.11 DÉI AFBES4AC Hs HOUSR EDH, 
. SFA 


ADO EOI, Es bpkhk . 1868658236868 
dl IHC ECs kerne loz. letrecmpiA 
SECS CHF EC, EA kerne Loz. PCSRS4FC 


rE F4 JLE 

GEF 39B58nad IMUL EDI,EDI,539 

br PUSH EDI 

504424 4C LEA EAs 

68 EBr14nm0B88 PUSH ASCII "rd" 

5i PUSH EA kernel32.7C8834FC 
ES DSaaamsan 

S304 ac 


ADO ESP, BC 


an4c24 28 LEA ECH, OWORO PTR SS:LESP*281 
PUSH_EC% pens = "SH SESH FFU SRY SSH BB IH BCU F FSJ FFF Fun BEES 


di D D D ED C) 


I nr ur uu. prj uu mu 
E Bes Eos Ee Eon ew ues Fes E E Een GI 


LA 


si 
205424 40 LEA ED», DWORD PTR SS: [ESP+4C] 
52 PUSH EDX Stringi = "" 
FFiS aarza4aca CAME OWORO PTR DS: C<&KERNELS2. LstrempAjh letrempa 
TEST ERX,ERX kernel32.7C8834FC 


JH2 SHORT Crackmez. 6684601160 
GH 44 Style HE ük:iHE ICOüOMBSTERISK:MHE BPFPLHÜODBL 

68 ERT doo Title "Wheet™ 

568 298714560 Text = "Good Boyt=n If this key is from your keygen Y shou 
53 EB hüuner = HULL 

FF1S DCcra4mnaa CALL DWORD PTR OS: (48USERS2. MessageBox A E He ssaaeBouH 

BF FOF EDI a613EE4C 

BS DLDDDDDp HOLU EAR, 1 

SE POP EBR 4613EE4C 

304 &ü HDD a iue 


Ce 1668 
PUSH 1H it = HB ükinB ICOMHRHD:MB BPPLHODRL 


6A 18 
68 DO Zap PUSH pele ee epee "Doh $" 
SC B67 14688 PUSH 


aa Eu He uen s es GIG GIG) E GI GIG GI UG Ee Eo Een] 


el ep a 2 e a = e a = e e a al o 
GIG GIG Eos Eis aaa a aa GI DG ia GIG DG GIE CS 


Ex r2: GGG GGG) 


= 
(fl 


Gr 
LA 


BB4 
KREIS 
and 
And 


HA 


ut = "Ead Boyt" 
PUSH EBX hOwner = NULL 
ERES DC epdppp eg WORD PTR OS: (¢&USERS2.MessageBoxe Äere 


POP B13EEA4C 
ES 140060 


6013EE4C 
9304 68 ADO ESP, 66 
C2 1000 RETA 16 
SBd4d24 GC HOW EA», DWORD PTR 55: [ESP+6C] Case SEF of switch S646102F 
PUSH 46 [iiie = HE üKiHMBE ICOMBSTERISEK:ME RFPLHODRL 


6A 48 
68 20714000 PUSH E Title = "Info" 
AA FAFAdARA PLISH 


Test os "KeuñenMe 2 ended hu KiTo«n*«n Rules: Please. 


[uw Kiew Fo e How Rien Res GI 


E 


adieu 
n Few Fe Fus] 


o es uen Eu E Fon E Eos a E e uen E Eo Eo Ee E 
GC 
LA 


LE aia a o GI e GIG) DS GI SI GI 
Es En En Pb En En En En En En En En Ea 


m 

GI 
"ron 

Gat 


m 
Git 
E 
Em 
i CU Cn P3 PO PO P eee ST MMMM ITTITT O3 C23 3 3 31 3 ao 


JB e DT +] O3 e C T On EM O D he Ca Tun TID ID «n C9 POTITI C3 «pn CT A (63 EDI 7 CT 4 IT] C EDI «0 Es 


zech keck fol bech bech bech bech keck Eech fl keck bech bech bech Eech Eech bech keck keck fl keck bb" keck Eech fol keck keck fl fl bech bech Eech bech bech bech bech bech fl bech bech bech bech bech 
— A A AA A AAA A A qp qr rp quiu i GIG) im GIG) GIG GIG GIG) GI CO CD RD RD GI DG RD US 


ami 
5) 
AA 
GI 


a Au c 
A I 
R 
A 
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Nos situamos sobre la primera instrucción de salto (JNZ), en la dirección 4010EB, para 
averiguar hasta donde nos lleva. 
l| dq] X 


b I| =: 





d lU al ai 

































E461 ABE 2504 TEST EBX,EBX 
BadnisBB4 | > BFBES40C BS HOusx EDH, el 
AB4BA1BB9 | . BSFA ADD EDI,EDZ ntdll.KiFastSustemCal ler 

Ba4B1BBB | . 41 IHC ECX 

Ba4niaBC | . 3BC8 CHF ECH, EA! 

AB4B1BBE | . FE F4 

AB4IG16C0 | > 69FF 39056009 IMUL EDI,EDI,529 ntdll.TCc928738 

AB4B1BCE | . 57 PUSH EDI ntdll.r7C928738 

BB4B1BC? | . 804424 4C LEA ERX 

aGB4niBCEB | . 68 ES714660 PUSH ASCII "Xd" 

aadal | . Se PUSH EAM 

a64616D1 | . ES Deaseamaaasa 

aedeieoe | . 2304 BC 

ae4B160S | . SD4Cc24 28 LEA ECH, DWORD PTR SS: [ESP+28] 

BB4B1B8DD | . 51 String? = "Mp*491!Lm*z811m*a4FF*RFF*RFFt'" 
Ba4mianE | . 8D5424 4C LEA ED, DWORD PTR SS:EESP*4Cl 

Baj4niaBE2 | . 52 PUSH EDX Stringi = "Hi-4n4s" 

AG4G1GES | . FF1S 66764609 CALE DWORD PTR OS: C<&KERNELS2. Lstremphi Lb Letzompü 


DATE _| TEST EHX,EH& 









BB4B18EB JHz SHORT Crackme?.884811BD 

66461 AED A dp Stule = HB üKiHB ICOMBHSTERISE!HMB BPPLHÜODRL 

He4616EF 68 Edri406 Title = "leet" 

e461 0F4 BS 98714868 Text = "Good Boyt =n If this key is from your keygen Y shou 
BE4616F9 53 hüuner = rFFDBBBB 

BE4616FA FF15 OCradaaa OWORD PTR DS: (¢8:USERS2. MessageBox ErlessaageBosH 

66461104 GE EL kernel22.rC8S16D4F 

66461161 Es aliaa MOL EAR, 1 

664611065 5E POP EBS kernel22.rC816D4F 

66481107 2304 66 ADO ESF, 66 

66461164 C2 1666 FETH iH 

66461160 +E PUSH 16 Style = MNB_OK}MNB_ICONHAND) MB_APPLHAODAL 

Be46116F Do He rg PUSH PS Title = "Doht" 

66461114 68 287114666 PUSH Text = "Bad Boyt" 

664681119 53 PUSH EBS hüuner = rFFDBBBaB 

rara di 34675 rrar ee ee Be ee TN EN A dl aoe Pa. Lea PRA Ha. ==». EN se a He e zm. zm. za zm EI se es E) 

4 k 


Podemos ver como la instrucción nos lleva directamente al “bad boy". Sabemos 
también que delante de una instrucción de salto debe haber una instrucción de comparación, 
cuyo resultado determinará si finalmente tomaremos el salto o no. La instrucción que precede al 
salto es: TEST EAX,EAX. Si queremos averiguar el significado de la instrucción TEST, basta 
con hacer clic con el botón derecho sobre TEST y seleccionar el signo de interrogación lo que 
abrirá el plugin MnemonicHelp. 


Nota: Para instalar un plugin en Olly debemos crear primero una carpeta que nos permitirá 
guardar todos los plugins que vayamos descargando. Seleccionamos Options de la barra de 
menu, y hacemos clic en Appearance. A continuación hacemos clic sobre la pestafía Directories 
y escribimos la ruta tanto para la carpeta UDD como para la carpeta Plugin. Dentro de la 
carpeta UDD se irán guardando todos los archivos de las aplicaciones que vayamos 
manipulando en Olly. Cualquier breakpoint, comentario,... será almacenado en estos archivos 
lo que nos permitirá volver a cargar la aplicación más adelante conservando las ültimas 
modificaciones hechas en el programa. 
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LI x 


General | D'efaults | Dialogs Directories | Forts | Colours | Code highlighting | 


UDC path: 
[Eso UD Browse | 


[ Backup old .udd files 


Plugin path: 


[EDI Plugin Browse | 





I Undo | Cancel | 


Backup k 
Copy b 
Binary V 
Assemble Space 

Label 

Comment i 

Breakpoint k 
Hit trace V 
Run trace d 


Mew origin here Ctrl+Gray * 
o Eo d 
Follow in Dump 


ha 


Search For 

Find references to 
View 

Copy to executable 
Analysis 


wr Fr F ww 


Analyze This! 


ID 4Ficator 
7 


appearance d 
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Intel #66 Instructions l -Ioj x| 


Archivo Edición Marcador Opciones 


TES T—Logical Compare 


fee aio 


Opcode 
AB ib 
AQ dw 

AB i 

FB ib 
Fr AU a 


FRIO ig 


DÄ Jr 
B5 Ir 
Ba ir 


Description 


Instruction 
TEST AL ¿mima 
TEST &ZX,imm1e 
TEST EAS mma3z 
TEST mma, mma 
TEST mié imme 


TEST miZ imn 


TEST m3, ra 
TEST mig r16 
TEST mm3z,r32 


Ayuda 


Description a 
AND mma with AL; set SF, ZF, PF according to result 

AMD imme with 4 set SF, ZF, PF according to result 

AMD mins with BSA: set SF, ZE PF according to resul 

AMD mma with end set SF, ZE PF according to result 


AND tame with emia set SF, ZE PF according to 
result 


AND mm 22 with mz set SF, ZF, PF according to 
result 


AND rà with ma sel SF, ZE PF according to result 
AMD r16 with made set SF, £F, PF according to rezult 
AMD riz with m3 set SF, ZF, PF according to rezult 


Computes the bit-wise logical AND of first operand (source 1 operand) and the second 
operand (source 2 operand) and sets the SF, ZF, and PF status flags according to the result. 
The result is then discarded. 


Operation 


TEMP + SRC1 AND SRC?; 


SF + MSB( TEMP} ; 


IF TEHP = 


0 


THEN ZF — 6; 
ELSE ZB ox Le 


LE 


El 


De la definición podemos concluir que la instrucción TEST lo que hace es comparar si 
los dos registros son idénticos, o lo que es lo mismo comprobará si cualquiera de ellos vale cero. 
Si EAX no vale cero entonces saltaremos a la dirección 40110D (nuestro “bad boy”). 


Como no queremos tomar el salto, pondremos un Breakpoint en la instrucción JNZ y 
reiniciamos la aplicación. Introducimos nuestro usuario y el serial (con un mínimo de cuatro 
caracteres), hacemos clic en “Check” y Olly se detendrá en nuestro Breakpoint. 
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Sei dd sl KU wi* gib o) a des) 
DDAD 1 GBE 41 IHC EC 
Eie ABC 3BCS CMP ECH, EAH 
6044016BE ee TE F4 
pieta 1 c >» 69FF 3298584864868 INUL EDI,EDI,53% 
Baqa ACE . EF FUSH ELI 
pipa 1 c? 204424 4C LEA CT O eg 
DüdploCHR 63 Esr 14000 PUSH ASCII "ad" 
pierda ADA Ep PUSH EA 
464481601 ES Damaaaaa 
44441806 2304 DC ADO ESP, DC 
80481809 3D4C24 28 LEA EC, DWORD PTR SS: [ESP+28] 
Bagai api El PUSH EC Stringz = BEEEFSBS 777 
664816DE 305424 4C LEA EDs, DWORD PTR SS:rESP*4Cl 
a4 AEZ EZ aA Stringi = mambmaaar TP? 
pieaa1uES FF15B amara CALL OWORO PTR DS:EZz&KERMELS2. Letrompa3 e LetromphH 
Eieaa1amE2S . DECH TEST EA, EA» 
oe PE SB HS SHORT Crackme2.B8848118D 
44441 BED 5H 44 Style = ME _ UK ¿MB ICOMASTERISEK i MB_APPLHODAL 
aqai HEF BS Ear 144606 Title = "Wee 
6640146F4 65 98114666 Text = ch Boy tn If this key is from your keygen Y shou 
pieta 1 ra ES FUSH EBX hÕwner = BACHE ("KeyGen He 2 - KTo", class=" #32770" ] 
pieta AFA FFiS. DCraqau CALL DWORD PTR OS: (2&USERS2. MessageBoxA E HeszaacBouH 
pieta] op EF EDI Bai 2EODOG 
Be461161 Es 81880668 MOL ES, 1 
Be461166 5B FOP EB DI 2EODG 
pipa LD 2304 68 HDD ESP, 64 
640116 . | C2 la 18 
66401160 > +68 14 FUSH iff Style = HB. DK PIE ICONHAND HE BPPFLHODRBL 
pieaa11d80F . 68 Hd 24 FUSH ee ee Title = "Doht 
pieaa1114 BS 86714608 FUSH Tent = "Bad Bay t" 
pieaa1119 ES FUSH EEX hüwner = Ed ("KeyGen Me 2 - ETo’, class=" #32778") 
Be461110 FF15 DC epadDop CALL DWORD PTR OS: C<2USERS2. HeszsaaeboupLHessaaeboup 
He4611268 SF POP EDI BBa13aFHBl 
60441121 ES alas HOU EAR, 1 
pogartze | | SS. POP EK” Feiere 
4 


Jump is take 


i ken 
6441 160=Crackme2. 068461160 fen 


Vemos que tomaremos el salto al “bad boy” a no ser que hagamos algo para impedir a 
Olly de tomar el salto. Vamos pues a la ventana de registros y cambiamos el valor de la bandera 
Z haciendo doble clic sobre el cero. 


Registers (FFU) & d d 





EAS HD) 
EL a Dot SBS 
ED Do 
EBs Holt 
ESP HH13F9E4 
EEF HH1SFAr4 
ESI 66461686 Crackmez.tB4a81m]na8 
EDI maapisF2 


EIF HBHd4BliBHEB Crackmez.tddaluEBE 


ES DZ 
CS BBi1B 
55 Ba23 
OS 4623 
FS BB3B 
GS HEE 


LastErr 


22bit 
22bit 
Seb it 
32bit 
22bit 
ĦOLL 


BL FFFFFFFF) 
AL FEFFFFFF) 
&t FFFFFFFF) 
ALFFFFFFFF] 
"FFDDaaBt FFF} 


ERROR_SUCCESS (Don) 


66660242 (HO, HE, E, BE, HS, PU, DE, LEI 


empty 
empt uy 
empty 
empty 
empty 
empt uy 
empty 
empty 


BERR 
GER 


4. 4665547rr101256342be-1178 
H. HHHHHHHHHHHHHH 2902-4933 
+UHORM 1FS6 BE1BEBER Baia 
6.31803471559788r585280e-4332 
+UHORN 4635 BABES FasESBC3S 
+UHORM GESB BELSFO24 manna 
-UHORN FDIC Bögga Bee 
H.526354664d22rdrd6s2de-4333 

sos e Re EG 
Cond d B AH Ercpnppnpppp [GT] 
Prec MEAR,5S3 Mask PEDIS Den Tee 


En la ventana de desensamblado la flecha roja cambio a gris, por lo que podemos estar 
seguros de que no vamos a tomar el salto. Comprobemoslo reiniciando la aplicación. 
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aqi HEE 
BB481 BBC 
BE40186E 
66401000 
6040106 
66441407 
DATE 
668461606 
6646816011 
66441606 
668441609 
66461600 
6646160 
piada1BíE2 
pad81BE3 
dd ES 


60401 GED 
464610EF 
p64010F4 
BE4G10F9 
BE4616FA 
464601160 
66461161 
66401166 
66401147 
4646116 
66461160 
66461 1 AF 


fal déi NI kl 


41 
SECS 


rE F4 
B9FF 398588808 


5? 
504424 4C 

es 8714000 
ES Dënnoong 
8304 BC 

Spaced 28 
BD5424 40 

52 

FF15 aaredeae 


eH 4B 


68 ER? 14668 
BS 981140068 


ES 

FF15 DC704098 
Er 

ES oioeooog 
8304 68 


164 
18 


j| ai 


eje IE 
INC EC 
CHP ECH, EAR 


IHUL EDI,EDI,539 


ASCII "zd" 


Stringi = BARBARA. Tr? 


bm = BHREEFSBS Ter 
| st rcmpH 


D 
DWORD PTR DS: (X&KERNELS2. Let zompH 


| TEST EAs, EAS 


Title "Weert 

Tent = “Good Boyt =n If this key iz from your keygen Y shon 
hOwner = BRHICHHES ("KeyGen He 2 - ETo" class=" #3277H") 
HezsaaeBoasH 

461>3FABA 


a01S3FABO 


[z- = HE üKiHMBE ICOMBSTERISEK:ME RFPLHODRL 


EBX 
CALL iust PTR D&:rz&llSERS2.HessageEokf 


Title = "Doht 


60461114 58 88714008 
FF15 DC784888 
SF 

ES oioppoag 
5B 


racar] d SC CA 


Jump iz HOT taken i — 
668441 160-Crackmez. 86461160 


Text = “Bad Eoy t" 

hOwner = HRICHBES ("KeyGen He = —- KToa',classz':as2rrü') 
HezzageBousH 

Hai SFABE 


AAI SFABE 


ES = HB. OF i MEL ITCONHAHD ID BPPLHODRL 


rana menm cda 





Good Boy! 
IF this key is From your keygen u should write an solution! 


A continuación veremos como parchear esta aplicación. Para ello reiniciamos el 
programa, introducimos el usuario y el serial hacemos clic en “Check” y vemos como Olly se 
detiene en nuestro breakpoint. 


Ahora en lugar de cambiar el valor de la bandera Z vamos a modificar el código del 
binario. Para ello seleccionamos el Breakpoint en la dirección 4010EB y hacemos clic en la 
instrucción JNZ SHORT Crackm2.0040110D. Pulsamos la barra espaciadora. Y se abre una 
nueva ventana con la instrucción que habíamos seleccionado. 


Assemble at 004010EB Ei 








Iv Fill with NOP's 


Cancel | 





Sustituimos la instrucción por NOP (No Operation), con lo cual nos aseguramos de no 
saltar nunca, ya que estamos prescindiendo por completo de la instrucción JNZ. 


Assemble at 004010EB EE xj 








D 
Cancel | 


Iv Fill with HOP" 
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Hacemos clic en "Assemble" y en “Cancel”. 


Nota: Si no hacemos clic en “Cancel” y continuamos haciendo clic en “Assemble”, 
procederemos a ensamblar línea por línea todo el código del programa. 


Volviendo a la ventana de desensamblaje podemos observar como ha desaparecido la 
instrucción de saltar y en su lugar se han afiadido dos intrucciónes NOP. 





664410E23 . SSCH TEST EAs, EAR 
ag HOF 
Aäq4äl BEC ad HOP 3 
aqal HEL . ÈA dp PUSH 46 Style = HE üK:HE ICOMHBSTERISEK:HE HPFPLHÜODRL 
44441HEF . 58 EBr14664 PLUSH EM Title = "Weet™ 
He4610F 4 . 66 96714688 PUSH Text = "haod Bou*-n If this key is from your keygen 
6644810F3 a EE FUSH EBH hOwnier = BEBSEABE ("KeyGen Me 2 - ETo', class=" #32rrE 
664481aFA » FF15 DC epdoan CALL OWORD PTR OS: (28USERSS. NessageBouA?] MHessageBouA 


La razón por la que Olly pone dos NOP’s es que el opcode NOP es de solo un byte y la 
instrucción que hemos reemplazado (JNZ) es de dos bytes. También podemos observar que la 
flecha que nos mostraba el salto hacia el “bad boy” ha desaparecido ya que ahora no va haber 
ningun salto en esta linea. 


Pulsamos FS hasta llegar a la dirección 4010FA donde nos espera el “good boy”. 


LN A 


.1 Good Boy! 
IF this key is From your keygen u should write an solution! 


Nota: Cuando cambiamos el código del binario para parchear una aplicación, debemos 


activarlo siempre que reiniciemos el programa. De lo contrario el programa se ejecutará sin 
tener en cuenta las modificaciones hechas. 


Antes de verlo volvamos a Olly y comprobamos los parches pulsando el botón Eé (o 
Ctrl+P). 


C E 2101 xi 


Address | Size] State Old Hew Comment E 





2. | Active Idi SHORT Crackmez. 44441160 MOP 


El 
La ventana nos muestra el parche que hemos creado, la dirección, el tamaño, el estado y 
las instrucciónes intercambiadas. En este momento nuestra aplicación se está ejecutando, lo que 


significa que nuestro parche va a ser tenido en cuenta por la CPU. 


Si reiniciamos ahora la aplicación, lo primero que nos muestra Olly es el siguiente error: 
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AAA 


| , ` In module 'Crackmez' OllyDbg encountered several corrupted breakpoints, where First 
byte of Ehe actual command differs From that in the previous debugging session. This 
happens when program was recompiled or code is selF-madiFving (For example, 
self-extracting), For security reasons, OllyDbg will disable suspicious IMT3 breakpoints, 
You can re-enable them in Breakpoints window, 


Hacemos caso omiso (por ahora) y pulsamos "Aceptar". Abrimos la ventana de los 
Breakpoints y observamos como el Breakpoint que hemos puesto anteriormente está 
inhabilitado: 













Breakpoints P - [Bl] xj 
Address | Mody le Act ive Disassembly Comment A 
BE4616EBR| Crackmez — adim JHz SHORT Crackme2. 86461160 


Para habilitarlo de nuevo pulsamos sobre la barra espaciadora y volvemos a ejecutar el 
programa. Introducimos nuestro nombre y el serial y Olly volverá a detenerse en nuestro 
Breakpoint. 





padd1imE2- . SSCA TEST EAH, EAR 
“PE 24 JH2 SHORT Crackmez. 6684681160 
Be4616E0 . | 6A 44 PUSH 46 Style = NB_OKINB_ICONASTERISE i NB_APPLNODAL 
He4616EF . | 6S EReldppo FUSH Title = "leet" 
66440146F4 . | 68 98714868 PUSH Text = "Good Boy tn If this key is from your keygen | 
BE4G16F3 . (153 PUSH EBS hüuner = BRRBRRBE ("KeyGen Me 2 - ETo'’, class=" #32770 
Be4616FA . | FF15 DC epp CALL DWORD PTR DS:rz&lsSER2z.HessageBosH71 MessageBox A 
Be461168 5F EDI 661S3FABA 
EISEN Es miae MOL EAR, 1 
6644011665 5E POP EBS 661=3FABA 
664al1a7 2304 66 ADO ESF, GO 
86461168 . | C2 1666 FETH if 
BE4611680 > S6A 1H PUSH 16 Style = MB_OKiMB_ICONHAMO ID OPP HODOL 
B41 Lt . E8 Basrz4uuu FUSH Title = "Doh*" 
He4h1114 . 65 8871488 FUSH Text = "Bad Boyt" 
Be4h1115 . 53 FUSH EBS hüuner = BBBBBBBE ("KeyGen Me 2 - KTo',colassz'i32rrü 
Be4611148 , FF15 DC epdoop CALL DWORD PTR DS:rz&UsER22.HessaaeBoun?1 HezzaaeBasH 


Vemos como las intrucciones NOP han desaparecido, volviendo la instrucción del salto 
pero esta vez en gris. 


Abrimos la ventana de los parches: 


Size|State Comment 
2. (Removed) JING SHORT Crackmez., 86461160 


= 5] x| 


in. 














Vemos que Olly desactivo el parche. Para volver activarlo pulsaremos la barra 
espaciadora. Si no queremos activar el parche cada vez que reiniciemos nuestra aplicación 
debemos guardar los cambios hechos en el código binario e asi garantizar su permanencia. Para 
ello hacemos clic con el botón derecho en cualquier parte de la ventana de desensamblaje y 
seleccionamos “Copy to executable ” -> “All modifications”. 
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2.lstromph?] 


HessageBo«H?] 


HezzaaeBasH?l 


Copy to executable 





Seleccionamos “Copy all”. 


Copy selection to executable fle = i 


Copy | Coman] ae | Cancel | 





Se abre una nueva ventana Dump, con todo el código binario, incluido nuestro parche. 
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File C:\Documents and Settings‘ usuarios Mis documentos eges [ml EZ 


BEBE HEE Ela HOP al 
BEBE 1 BEC 2 HOF 

Dol HE0 BH 44 PUSH 48 

DI BEF 63 ER 14688 PUSH 467°1E8 

Dol EA DÉI 98714688 PUSH 467195 

BEBE aure 53 PUSH EBX ml 
Dol HFA FF15 DCecpgappng | CALL DWORD PIR OS: 0467800] 
666861100 SF POP EDI 

666801101 BS Blmmaana HOU EAs, 1 

666801106 5E POP EBs 

Bandai? 53904 68 HDD ESP, 64 

Hee 1 1A C2 1668 RETH 18 

468481160 6A 16 PUSH 16 

Dol Lt 62 8372468 PUSH 467285 

GIS 68 88714688 PUSH 467155 

jahli 53 PUSH EBX 

naaal iiA FFiS OCrede6e@ | CALL DWORD PIR OS: Lage! 
jaah l iza SF POP ELI 

66661121 Ba Blnmmaama MOL EH, 1 

Bana 1-26 5B POP EE» 

Dol lr 5304 68 ADO ESP, 6 

Dol 120A Ce 1404 RETH 18 

ISSN SB4424 GL HOU EAS, OWORO PTR SS: CESP+6C J 
Hee 11S1 BA dp PUSH 48 

Dol 127 62 20714600 PUSH 4871256 

66641135 68 Fann PUSH Act 

Dol 13D 5H PUSH EAR 

Dol 13E FF15 DCcpdppg | CALL DWORD PIR DS:r4875DcC] 
Dol i44 SF POP ELI 

666861145 Es Blmmaamda MOL EH, 1 

Haaa i 4A 5B POP EE» 

Dol 14E 5304 68 ADO ESP, 6 

Dol 14E Ce 1404 RETH 18 

6648681151 SB4Ce24 GL MOL ECs, OWORO PTR SS: [ESP+60] 
ISSN 6A bl PUSH 1 

BBLS? 1 PUSH ECA hd 
rarararad EOS EE1E Cram arr rua nnn OTO Moe FAST 


A continuación hacemos clic con el botón derecho sobre la ventana Dump, 
seleccionamos “Save file" y le damos un nombre: 


Crackmez 


[!ncumentas 
reciente 





Mis sitios de red PEt: sf 


[Crackme2_Parchel E 
| Executable file [exe] bul | 


Tipo j 
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Comprobamos que el nuevo ejecutable tenga el parche. Abrimos Crackme2_Parche.exe 
en Olly, pulsamos Ctrl+G e introducimos la dirección del parche (4010EB). 





=A Crackme? 


Crackme2 Parche 





Nombre: [Crackme2_Parche 


Tipo: [Executable file D exe) ¥ | Cancelar | 
Arguments: | -| 


x| 
[401 DEBÍ sl 







Haqli HES 

mnagdalaEE 

Haq HEC 

66441HAE0 SH 4H Style = HB ükiHE ICOMBSTERISK:HE BFFLHÜODBL 
GRÉISST . 58 EB? 14668 Title = "leet" 

HAT DE A . 68 987114004 Text = "Good Bau**«n If this key is from your keygen 1 
BHE4610F9 . 53 BH hOwnier = vEEDGDp 

HE4615FA . FEI DC epp CALL DWORD PTR OS: C<2USERS2. NMessageBoxA?] MessageBoxA 

668441164 : POP EDI kernel32.7C816D4F 

664401161 . Es Bina HOU EAR, 1 

664411665 . BP POP EBs kecrnel22, rces1604F 

66441107 . 5554 GR HDD ESF,68 

4611648 . Ce 1666 18 

668461160 . 46H 18 PLUSH 148 Style = HE ükiHE ICOHHBHD : HE BFFLHÜODBL 
mngda11d8F . ĖS D€ Zdopp PLISH Title = "Doh*" 

66441114 =. ĖS 2871144064 FUSH Text = "Bad Boyt" 

mngda11135 ess PLUSH EBX hOwier = YFFDeaaua 

mngda111H = FEIER DC epp CALL OWORD PTR DërtZAUSERZaZ, MessadeBorA>] HessaaeBonA 


¡Aparece el parche! 


Ahora comprobamos el nuevo ejecutable haciendo doble clic en el: 


Tareas de archivo y carpeta * 


ce Crear nueva carpeta 


GG Publicar esta carpeta en Web 
Ki Compartir esta carpeta 


Crackme2_ Parche 





Introducimos el nombre y el serial: 
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KeyGen Me 2 - KTo xj 


Exil | 
User [manuel 
About | 
Serial 123456709 
| 


http: A" kito. zor. org 
Hacemos clic en “Check”: 
LONE sl 
Lj Good Boy! 
Ta IF this key is From your keygen u should write an solution! 


iLa aplicación ha sido parcheada de forma exitosa! 





7.3 Caso práctico 3: Repasando conceptos 


Abrimos Olly y cargamos la aplicación canyou.exe (para este ejercicio necesitaremos 
introducir el fichero canyou.dll en Olly). 


^ odbg110 





Archivo Edición ver Favoritos Herramientas Ayuda 


O Atrás e > r Sp "9 Búsqueda 1 Carpetas (gab 


Dirección |C) C:\odbg110 











— = " dbghelp. dll pis license 
Tareas de archivo y carpeta ` ^ 6,8,4,0 == | Documento de texto 
Windows Image Helper bes 4 KB 
c Crear nueva carpeta —Ü 
GG Publicar esta carpeta en Web . WIM3Z ollydbg 


Archivo de Ayuda 
ed. 224 KB 


Opciones de configuración 


Ki Compartir esta carpeta 12 KB 








z . OLL'TDBG 
Otros sitios GA OLLYDBG: i : Archivo de Ayuda 
OllvyDbg, 32-bit analysing deb... losa yn i 
eae Disco local (C:) ees 
(L3 Mis documentos readme E register 
Documenta de texto =| Documento de texto 
¡Sy Documentos compartidos 3 KB = 2 KB 
x MiPC 
e. Li reverseMe,udd | 
SA Mis sitios de red Archivo EOD canyou. dll 
5 KB = 
Detalles E 
BOCEMARE, ELL (mairie. dll 
adbg110 





Carpeta de archivos 
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OllyDbg - canyou.exe - [CPU - main thread, module canyou] 
[c] File View Debug Plugins Options BreakPoint-> 


>| Il 





Window Help Tools -lej xl 
8 ai AH 
PUSH & phodu y | Registers (FPU) S & 


Getto 
HOW DWORD PTR DS:r4a38C41,ERX DOUD 
PUSH o 


Gi 


ER 
EGo2oeag 
EE Go1 2EEBR 
29104000 : ee ntdll.KiFaztSuztemCallRet 
Ba í : 

Bal3FFC4 
' ABISFFFA 

FFFFFFFF EN 
AEE EA Aa reazars8 ntdll.rC326738 
64116024 ES CZ 64448166468 canyou. Mody leEntryPoint > 
pa4niassao ES PUSH EBP a 
Ba48182A BBEC HOU EBP,ESP PM recu eee 
Egdg1iauzc 81C4 ECFEFFFF HDD ESP,-114 eS D 35h it ar EEEEEEFE I 
Aadaiess | . 837D GC 14 CHF 18 E ep eoe GE 
Ds 0023 32bit GLFFFFFFFFI 
GK 75 (D Ne FS 32bit PFFDFBGALFFF) 
Gadeiess | . 8330 Bese4eee oi CMP DWORD PTR DS: [403808], 1 E Satie a 
75 05 = 


E ES 256424044 
BB4B 1846 EA BB LastErr ai SSE See EI a 
66401045 FFrs DS maunmdz46 (Hd, HB, E, BE, HS, PE, DE, LEI 
66401446 ES SEBzZBBadB . E TD AD - 
EK ES &TB2B8BB8 Sd UHORR BPC ġild mn 
664014655 S170 ØC 1661506) CHP ST? empty 
HFSS SCAR HZ empty 
CHF empty 


6644814650 
SEIN 2220 6040608 mna 
|» EMPTY 
empty 


empty 


U Gd m eo 4 nao 


SH BH 
PUSH OWORO PTR OS: 1483404] 
PUSH B 


, A BH 
T ||- FF3b DC4am4mnmm 
BE461810 ||. ES Bemzanas 


FUSH hind - 


FISH El [hina 
EndO i: 


118 
DWORD PTR OS: (463806), 


paa ia ia aia a 
A Eus Des Bs En 


DCH 
o 
E 
cL 


TÉSISDAF 


BASF S658 
pads 
SÉISS 
5/55 155151515) 
BA4RS898 


DAD! re 


BEdASABA 
GBadaAsaCa 


pads E 


sweet Can you Cra 
ckNe? Please ent 
era Value for e 
ach field*.Conar 
atst, You have d 
one itt :1.S5o0rru 
. that was an un 
authorized seria 
Lt. Softuare-Hicr 
asotft^ilindaows-Cu 
rrentlerzion.FPFra 
ductkeu.P...c:^. 
aly 


T] CTS zl P3 PO PO CTS On =] 

un fs pi fe Ota 
1 ^E TT oJ CT CT] CS P CT CP 7] 
"O2 00 e Woe Qn CS CFT CTI 


m 
Cam Ml CP DJ CS AJ CS bau 


Ca CT] 7J Ri CTS CTS e PO CTS P CP 7] 
Ca ca orco en spen po m E ETT P3 
TT PR [T] «n E P3 CT] Ez HA 


BiSFFCS 
AG1SFFCC 
Hi SFFOe 
Hei SFFO4 
Hi SFFOS 
Hei SFFOC 
Dpl2EEER 
Hi SFFE4 
AGISFFES 
HE1SFFEC 
HG1SFFFA 
Hi SFFF4 
HEISFFFS 
Ae1SFFFC 


DEES 
ee 
CFEDOGGG 
885430F0 
BELSFFCS 
214639085 
FFFFFFFF 
PCESISES 
70816053 
DG 
DD 
DD 
984681860 
Baa 


End of SEH chain 
SE handler 
kernel32.rC8186Db58 


canuyau,zhHodu LeEntruF 


Gig 
Gig 


H BEA 


Command | 


Como se vio en los ejercicios anteriores, una de las cosas mas importantes que podemos 
hacer una vez cargada la aplicación en Olly, es averiguar el funcionamiento del programa. Para 
ello ejecutamos la aplicación pulsando F9. 





| ¿Can you CrackMe? 


Enter your username here: | 


Gain Access! | 


Enter pour senal # here: 





Rellenamos los campos de texto y pulsamos sobre “Gain Access”. 
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MM ¿Can you CrackMe? «dul x] 





Enter your username here: [manuel 
Enter your serial H here: [1 23455783 


Dam Access! | 





éCan you CrackMe? | X] 


Sorry, that was an unauthorized serial! 


Siguiendo con el procedimiento habitual, buscaremos a continuación cadenas de texto 


que nos puedan dar alguna pista. 
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Backup » 
Copy b 
Binary d 
Assemble Space 

Label 

Comment i 

Breakpoint k 
Hit trace + 
Run trace b 
Mew origin here Ctrl+Gray * 
Go to b 
Follow in Dump » 
View call tree Chri-E 


Search Far 





Find references to 
View 

Copy to executable 
Analysis 


r YY Y YE 


Analyze This! 


ID 4Ficator 
7 


appearance d 










el 


: [482804 1, EAS 


Be EIE n gp 


(Par ar 
OloPre 
hün g 
pTemp 
hInst 
Dialao: 
Ex itre 
Es Lt Fi 





: [4030606], 6 


: [403004], 1 


Mame (abel) in current module Ctrl+M 
Marne in all modules 


Command Ctrl+F 
Sequence of commands Chrl+5 
Constant 

Binary string Ctrl+B 


All intermodular calls 
All commands 

All sequences 

All constants 

All switches 


Resuli 
[nina : 
EndL i: 


H 


| All referenced text strings 


De la ventana que se abre a continuación podemos extraer algunas informaciones muy valiosas: 


> Necesitamos introducir “algo” en cada campo de texto. 


> Vamos a tener acceso tanto al “bad boy” como al “good boy”. 


[R] File View Debug Plugins Options Window Help Tools 


Running 
Address 


wa Kill ALO IS all ai 


Disassembly 


Text string 


BreakPoint- > 





Bag4a81515 


Be461106 
468401261 


4044812A5 





PUSH AA [Initial CPU selection!) 
PUSH canyon. Adan ASCII “"Software“Microsof t™*lindows* Current Vers bon" 
PUSH canuou , 8463600 ASCII "Productkeu" 

PUSH canyon. 643 AD ASCII "manuel" 

PUSH canuou. 8463608 ASCII "manuel" 

PUSH canyou. DHA 24 ESTIS qut 
PUSH canuou.Eidmg3ui& ASCII 

PUSH canyou. 84463208 ASCII 

PUSH canyou. 664683200 ASCII "123456789" 

PUSH canyou. 66463064 BSED que 
PUSH canyou. 66463016 ASCII 

HOU EAR, canyon. 86463808 ASCII "manue 

PUSH canyou. BRAZ ASET esse 

PUSH canuou. Bda ASCII "elu" 

PUSH canyou. BAdAS5ES ASCII "27626185rv817T37?" 
PUSH canuou. Edna ASCII "elu" 

PUSH canyou. DHA ZOE ASCII "i737" 

PUSH canyou. BE463SE8 ASCII "irar" 

PUSH canyou. DHA 2GEG ASCII "276261856751737" 
PUSH canyou. 8463208 ASCII "123456789" 

PUSH canyou,. Bda ES ASCII "27?&626185rv831737?" 
PUSH canyou. DHA Z2DDA ASCII " iia 
PUSH canyou,. BE463656 ASCII 

PUSH canyou. 864635864 ASCII 

PUSH canyou. Hd ASCII 


Hacemos doble clic en cualquiera de los “boys” lo que nos llevará al área de la ventana 
de desensamblaje que nos interesa estudiar. 
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OllyDbg - canyou.exe - [CPU - main thread, module canyou] -|| x 
[c] File "View Debug Plugins Options Window Help Tools BreakPoint-> -|| > 
el dd xl mH botz Re de) all ag TES 


Res) CR 
gess) mu 
Eid zz . 68 LBaBdnnmB 
pida . 68 Een 























Running 








Format = estne E 
== rer BmadmseES 











amgagizzo | . ES 950000600 wsprintf 
GadBiz3A | . 8304 ac 
sadalzaD | . 51 al TEE COME 3743757. ) 
aadBi23E | . 68 C3046006 Format = "H 
pipa] 2472 . 68 EA 3 = Canyon. "ëluneers e 
dicun . ES OD wsprintthH 
4 


GIG 
GIG 


j34di24D | . 8304 BC 

b1i256 | . 68 ESS524000 
Oo) Zi . Gë ESA 
amdaizoH | . ES H32Dog 
amdaizcrF| . 68 DA=24806 
adgjdaiz64 | . 68 ES264806 


StrinaroHdd = "173r" 
ConcatString = "276261857831737" 
lstrcatH 
String = "123456739" 

Stringi = "27626185781737" 


Bm4miz69 | . ES HBD lstrempiA 

AB4H126E | . DCH 

Dal 2CH | .- r4 2C 

DAD) Ze 5A Sty Le ME OK i MNEB_APPLAODAL 


"n : Ba 
SC , 688 84564608 





I 
| 
f 
[ 





Bagal Title "Can you CrackMe?" 
Had4e1lero . 668 BB Text = ege that was an unauthorized serialt™ 
Aa4h127E . EA ÄÄ hüuner = HULL 

A461 288 ES 6588008 MessageBouA 

AB4h1 285 GH BB [Param = 

aadal2s7 5H BB sc z 

Baag1izsso 5H 1H essade = Tu CLOSE 

Aadad25BE . FFrb5 H8 hind = 13FBBC 

Baghi 25E . ES Bop SendMessageA 

DA) 295 . ES DDDDDDDD 

DA) 20 CA 

Badge . Ce 1668 

Aa46129C ~ EB 13 


AA4h129E >» GD BA 

DAD) ZAA . 65 84364008 
DA 20 . 6S 356304606 
Badhi 200 . EA BÄ hüuner = HULL 
Be4612AC . ES 39080808 HeszzageEosH 


BadgdaizEl| > EB 99 
amdBizbE2 | > ES maagaans r H 
4 


A simple vista podemos identificar el “goog boy” precedido por el *bad boy" y que a su 
vez esta precedido por una instrucción de salto y otra de comparación. Antes de analizar estas 
secciones, fijemonos en la instrucción anterior, donde aparece un CALL a la API de Windows 
IstrempiA. Para averiguar el significado de esta API nos situamos encima, hacemos clic con el 
botón derecho y seleccionamos “Help on symbolic name" 


Title = "Can you CrackNe?" 


Style = HB üK!iHE RFFLHÜODRL 
| = "Congratet, You have done itt 11” 


Backup d 
Copy b 
Binary d 
assemble Space 

Label 

Comment : 

Breakpoint d 
Hit trace V 
Run trace + 
Fallaw Enter 

Mew origin here Ctrl+Gray * 
Go Eo d 
Follow in Dump d 
Search Far » 
Find references Eo + 
View + 
Copy to executable d 
Analysis | k 
Analyze This! 

IDAFicakar + 
? 

appearance d 
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^ Win32 Programmer's Reference - [8] x| 


Archiwo Edición Marcador Opciones Ayuda 


Istrempi 


The Istrempi function compares two character strings. The comparison is not case sensitive. 


EM 


int Istrcmpil 
LPCTSTR inStnngl, ‘address of first string 
LPCTSTR poting? ‘address of second string 


E 


Parameters 
ipsStnngt 
Points to the first null-terminated string ta be compared. 
ipstmngz 
Points ta the second null-terminated string ta be compared. 


Return Values 
It the function succeeds and the string pointed to by lostrng? is less than the string painted to 
by bstringe, the return value is negative; if the string pointed to by inStringt is greater than the 
string painted to by JoStrnge itis positive. If the strings are equal, the return value is zero. 


Remarks 
The Istrempi function compares two strings by checking the first characters against each other, 
the second characters against each other, and so on until it finds an inequality or reaches the 
ends af the strings. 


The function returns the difference of the values of the first unequal characters it encounters. For 
example, Istrempi determines that "abez" Is greater than "abcdetg" and returns the difference of z 
and d 


; x ym 
Tha lanansaan Hara enlartadn hu tha ueeokr at antiin fren por hu naina tha eoanteol nmanal | 


Basicamente lo que hace esta API es comparar dos cadenas. Por lo general comparará la 
cadena que ha sido introducido por el usuario con la cadena que tiene guardada la aplicación en 
su memoria (o que se haya creado de forma dinamica). Si el resultado de la comparación es 
cero, entonces el usuario ha introducido las credenciales correctas, o lo que es lo mismo, ambas 
cadenas son iguales. 


En nuestro caso si EAX devuelve el valor cero, ambas cadenas serán iguales, en caso 
contrario no lo serán. 


Una vez identificado la instrucción del salto, pongamos un Breakpoint en la dirección 
401270, reiniciamos la aplicación, introducimos el nombre y el serial y vemos como Olly se 
detiene en nuestro Breakpoint. 
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OllyDbg - canyou.exe - [CPU - main thread, module canyou] 
[e] File View Debug Plugins Options Window Help Tools BreakPoint-> 




































- al. 
Baadizrz BB Style = HB DEI HPPLHÜODHL 
Badgisr4 58 84364608 Title -."4Can unu CrackMe?" 
auadadgizr2 5E340444 Text = "Sorry, that Was an unauthorized serialt™ 
Hagl rE EIS hüuner = NULL 
6401236 6500000 HezzageBosH 
SES Ha [Faram = E 
GA461287 wearam = B Out 
gadgisss Message = Wr CLOSE 
BaaddizsB hunc = FHE56 
HASH ASE a SOBBERRE SendtessageA 
Aadad293 DDDDDDDD 
padg12z93 
Bgaddgizea 100 
Baadgis9c EB 13 
aaanizsE E Ba Style = HB ükKiHE RHPFFLHODRL. 
gadal2nmag e ee eran Title = "4Can you CrackHe?" 
4644125 . 68 362404464 Text = "Congrat=*, You have done itt 23)” 
Aadad2RA . EA BH hüuner = HULL 
Dol AAC . ES 398086 HeszageBosH 
Bagli ze EB a 
BaadgiaBea > BS GODDDDDDp 
BadgizBs8 . CES 
maqal 269 . Ce 1668 
AB4h1 SEC >» BS 81 E8068 
Baadizci ES 
Badgiscs . C2 1668 
Be4e12C5 CE 
6401236 $- FF2E 43204066 :[E&Ecanuou.SofticeChecker?] canuou, 1.S5ofticeChecker 
DAD) 2 $- FF2E 44204066 :[Ei&Ecanuau.FileSearcher:?l canyon i.FileSearcher 
Badai2D2 | $- FF25 30204066 i CASRUSERSZ. WsprintFHA>] LISERZZ.wszprintfH 
agasmispa | $- FF25 338284066 :EZSASUSERS2.DialosgBosFaramH21| USERS, DialogBosParamA 
AdAi2DE | $- FF25 20204666 :EZSSUSERSZ.EndDialoa?71 LUSERSZ.EndLDialaoa 
Badai2Ed | $- FFzZ5 26284688 :DZAHSERS2.GetDlaltemTestHz1| LUSERSZ.GetDlaltemTestH 
BBABizEH | $- FF25 34204006 : CLRUSERS2S. MessageBox A+] USERS2.MessageBoxA 
HG4612F0 | $- FF25 38264668 : CARUSERS2. SendMessageA>1 LIBERSZ. SendMessageA 
Ba4dlzFe | wc FF25 ac2am4man :ES&KRERHEL32. Ex itProcess?] kerne loz. En itProcess 
AB4GISFC | $- FF25 10204066 , sL/ZEERHEL 23. GetModyleHandleR kecneL32. Get ModuleHand leA T] 
4 k 
Jump is HOT taken 
HASH 1S 3E—canyou. Dap SE 
Vemos, gracias a la flecha gris, que el salto no va a ser tomado y por lo tanto, Olly no 
P 2 66 99 . . . 2P . 
nos mandará al área del *goog boy". Para remediar esto utilizaremos la técnica que ya 
conocemos: doble clic en el valor de la bandera Z para sustituir el cero por un uno. 
CH ES mBa22 2bit BHELFFFFFFFF1 
FH CS BAIE S2bit HLFFFFFFFF1 
Ha SS ma2a3 2bit BHLFFFFFFFF1 
c1 DS BHa23 S2bit HLFFFFFFFF1 
GR FS BASE 32bit FFFOFSReL FFF) 
Ip GS mana HULL 
o E 
ü m LastErr ERROR_SUCCESS (mma) 
Ahora la flecha es de color rojo y podemos estar seguros de que Olly tomará el salto 
c6 an 
para llevarnos al “good boy”. 
DRAI 23 B Style = HB üKiHB HPPLHODRL = 
64401271 4450444 Title = "Can you CrackMe?" 
maamnizr2 5634460 Text = "Sorry, that Was an unauthorized serial?" 
He46127°E ac hOwner = NULL 
6644812236 emi HezsageBEasH 
64461235 Ae lParam = HH 
B64B1287 wParam = B _| 
64401223 Hessage = WM_CLOSE 
Be461256 hind = 70256 
A461 22E 5 Dime SendhessaaeH 
66401293 5/5/5/5/5]5]5]5 
66481295 
6641299 166 
Ba46129C 13 
6646129 ar Style = HB OüKiHBE RPPFLHODRL 
6644126 b Title = "Can you Crackhet™ 
644612A5 .J 68 SBSh4h64 Text = "Congrat=*, You have done itt 11" 
86461200 . EH BH hOwner = NULL 
Be4612AC . ES 39ġ0ğøġġğä MessageBox 
66401261 ze EB da 
66461263 > BS amma 
madmisBs SES 
66461289 . C2 1668 
He46126C > BS Alan 
66441201 : ES 
BB4612Ce . C2 18588 
664681205 IMP 
44461206 £- FF25 48204444 :[£&canunu.SnofticeChecker?]l canyou_1l. Gott tceChecker 
Ae461200 S- FF25 44284008 :[£&canuou.FileSearcher?1] canuoud, l.FileSearcher 
medmisDs| $- FF25 3Cz2zB4nmaa :ESR&IISERSZ.wsprintfBA4;1 LISERSZ.wsprintfH 
BB461208 | $- FF25 32204604 :[LS&LISERSZ.DialogBosParamH?1]| USERSZ.DialoaBosFaramH 
BB46120E | $- FF25 2zC2m4nmaad :[S&LIISERSZ.EndDialoaa71 USERS2.EndDialog 
Be4612E4 | $- FF25 28264668 ¿IX BUSERS2. GetOlgitemTextA?] | USERSzZ.mGetDlaltemTestH 
HBdB12EH | $- FF25 34264608 :DERLISERSZ.HessageBnsH:? J USERS2. MessageBoxA 
adala | $- FF25 382646008 : [<4USER32. SendNessageA +] USERS2. SendMessageA 
He4612F6 .— FF25 DC Zapp : [CA &KERNELS2,. Ex itProcess zl kernel32.ExitFracezssz 
BB4612FC | $- FF25 1020646604 ¿CR EERNELS2. GetHoduleHandleA kernel32.nGmethadu leHandleA bé 
4 k 


Jump iz taken e 
66461 29E=can Y 04, 004 


Pulsamos F9 para comprobarlo: 
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¿Can you CrackMe? | X] 


Congrats!, You have done it! :) 


El siguiente paso consiste en parchear la aplicación. Pero esta vez no vamos a sustituir 
la instrucción de salto por la de un NOP, ya que esto nos llevaría al “bad boy" cada vez que 
ejecutemos el programa. En su lugar sustituiremos el JE (Jump on Equal) por un JMP, lo que 


hará que siempre saltemos al “good boy". 


Busquemos por lo tanto nuestro Breakpoint, hacemos clic en la barra espaciadora y 
hacemos el cambio: 


OllyDbg - canyou.exe - [CPU - main thread, module cany 
[e] File wiew Debug Plugins Options Window Help Tools 





Running 


Assemble at 00401270 A 


JE SHORT 00401249E 


[v^ Fill with NOP's Cancel | 


Assemble at 00401270 i 


[v^ Fill with NOP's Cancel | 





Hacemos clic en “Assemble” y en "Cancel" y vemos como se cambio el código en la venta de 





desensamblado: 
v-EB 2C JHP SHORT canuwau,.timdas1iz9E 
Badquisvz 6A md PUSH & 
Be46 1274 . | 68 64344666 PLUSH 
He461279 : GD BB3aHd4Bdad 
HE46127E S GH D 
44441254 S ES GËESGDDp 
44461255 : GH D 
Be461287 . | EA Be 
Be461289 . | EA 18 
46401256 . | FFFS D 
4644125E . | ES SORBRREE 
46441293 . | BS DD 
46441298 ES 
HEa461299 S C2 1664 
44441239 | EB 13 
4444125 F 6A HA 
444612H4 5 GD 443640466 
46461285 . Di 35E04660 
468461284 . DH DR 
Be46120C . Es Zopp 





Pulsamos FS hasta pasar el área del “good boy”. 


¿Can you CrackMe? X] 


Congrats!, You have done it! :) 


E 


Title = "4Can you Crackle?" 
Text = “Sorry, that was an unauthorized serial*" 
hOwners = MULL 
MessageBox 


[Param = & 

wFaram = RH [| 
Hessage = Wh CLOSE 

hind = FH256 

SendhessageA 


Title = "Can uou CrackMe?" 
Text = "Congratet, You have done itt 21” 
hOwnes = HULL 


ls = MBOK i MB_APPLMODAL 
HessageBox HA 
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El ultimo paso consiste en guardar la aplicación parcheada en nuestro disco duro. 


Cerramos Olly y hacemos doble clic sobre el nuevo ejecutable: 


Tareas de archivo y carpeta A 


c Crear nueva carpeta canyou_parch Pale 


e 
Ed Publicar esta carpeta en Web 


Ki Compartir esta carpeta 





Introducimos un nombre y serial cualquiera: 





MN ¿Can you CrackMe? | E — -Jol xj 


Enter pour username here: [manuel 


Enter pour senal # here: fi 234567839 | 
Gain Access! | 


Hacemos clic en “Gain Access!" 


¿Can you CrackMe? X] 


Congrats!, You have done it! :) 








7.4 Caso práctico 4: Resource Hacker 


Abrimos Olly y cargamos el ejecutable Crackme8.exe. Pulsamos F9. 
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OllyDbg - Crackmed.exe - [CPU - main thread, module Crackme8] 
[e] Fie wiew Debug Plugins Options Window Help Tools BreakPoint-> 
ee däi | kill wi ann ali ep 






Hunning 











SISËISNNWES S GH HH PUSH B [Para y 

6441154 . ÉS 531404606 PUSH Crackmes, 164014653 [I LaPr: 

Hb461189 =- ER HR PUSH & h Üw g 

64461156 = EA EF PUSH Er pent 

Oe . 6H HR PUSH B m SE 

= E 2 E E an = et 

madmiios ||. L RAMAS AAA E! X] mE 

64611965 : amA: Dialo 

TIE » CES 
2 d ü = H Lt 

20291 tas Name: | 

SS iat: [— — — — | 

66481107 serial: Fuck it. 

Be461108 

Hb4611A9 

Ab461140A 

BHe46110B [5/5 DE GO 

B684411AC A DE 44 

B684411AD Ae DE h 

Ab46H110E BH DB we 

Be46110F [5/5 DE GO 

Ab461168 A DB 44 

Dao) IER) BH DE 46 

Be461162 [5/5 DE He 

Ab461163 A DB 44 

ħaga i Eg 5/5 DE mbi 


664401165 nis DE ou +| 
Fidi 1 1 Bes AA ID AA 
4 d 


Una broma de mal gusto! Veamos cómo cambiar la apariencia del cuadro de dialogo. 


Instalamos Resource Hacker haciendo doble clic sobre el ejecutable. Una vez instalado abrimos 
la aplicación. 


Resource Hacker | DIE 
File Edit View Action Help 





[O | Le AS 


Cargamos el ejecutable Crackme8.exe y desplegamos las carpetas. Hacemos clic 
sobre el icono 1033: 
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File Edit View Action Help 
4-3 Dialog 


EB £3 103 Compile Script | Hide Dialog | 
Je 1033 

















103 DIALOGEZX zz, 17, 170, 41 

STYLE DS CENTER | WS CAPTION | WS SYSMENU 

CAPTION "Practice by kevgenning this - Kwazy Webbit ¿004"” 

LANGUAGE LANG ENGLISH, SUBLANG ENGLISH US 

FONT 5, "System" 

i 
CONTROL "", 1000, EDIT, ES LEFT | ES AUTOHSCROLL | WS CHILD | WS VISIBL 
CONTROL "", 1001, EDIT, ES LEFT | ES AUTOHSCROLL | ES NUMBER | WS CHILD 
CONTROL "Name:", -1, STATIC, 33 LEFT | WS CHILD | WS VISIBLE | WS GROUP 
CONTROL "Serial:", -1, STATIC, 55 LEFT | WS CHILD | WS VISIBLE | WS GRC 
CONTROL "Done", 1002, BUTTON, BS DEFPUSHBUTTON | WS CHILD | WS VISIBLE 
CONTROL "Fuck it.", 1003, BUTTON, BS PUSHBUTTON | WS CHILD | WS VISIBLE 





x 











Hi 


Serial: | Fuck it. 


En la primera parte del panel aparecen especificaciones genéricas sobre el 
cuadro de dialogo como fuente, estilos, titulo de ventana... Debajo vemos los nombres 
de los cuadros de texto, Name y Serial y mas abajo los nombres de los botones. 
Procedemos a cambiar los nombres de los botones: 


CONTROL "", 1000, EDIT, ES LEFT | ES AUTOHSCROLL | WS CHILD | WS VISIBL 
CONTROL "", 1001, EDIT, ES LEFT | ES AUTOHSCROLL | ES NUMBER | WS CHILD 
CONTROL "Name:", -1, STATIC, SS LEFT | WS CHILD | WS VISIBLE | WS GROUP 
CONTROL "Serial:", -1, STATIC, S8 LEFT | WS CHILD | WS VISIBLE | WS GRC 
corr ` 1002, BUTTON, BS DEFPUSHBUTTON | WS CHILD | WS VISIBLE 
CONTROL 1003, BUTTON, BS PUSHBUTTON | US CHILD | WS VISIBLE | W 





Y ya que estamos, cambiamos también el título de la ventana: 





103 DIALOGEX 22, 17, 170, 41 

STYLE DS CENTER | WS CAPTION | US SYSMENU 
CAPTION 

LANGUAGE LANG ENGLISH, SUBLANG ENGLISH Us 
FONT 5, “System™ 


Una vez hecho todos los cambios pulsamos “Compile Script” y guardamos los 
cambios. 
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Compile Script Hide Dialog | 


103 DIALOGEX zz, 17, 170, 41 
STYLE DS CENTER | Wo CAPTION | Wa SYSHENU 
CAPTION "Crackkmes" 
LANGUAGE LANG ENGLISH, SUBLANG ENGLISH Us 
FONT 5, "System" 
d 
CONTROL "", 1000, EDIT, ES LEFT | ES AUTOHSCROLL | WS CHILD | Wa VISIBL 
CONTROL ""., 1001, EDIT, ES LEFT | ES AUTOHSCEOLL | ES NUMBER | Wa CHILD 
CONTROL "Hame:", -1, STATIC, so LEFT | Wa CHILD | WS VISIBLE | US GROUP 
CONTROL "Serial:", -1, STATIC, a5 LEFT | W5 CHILD | Ws VISIBLE | WS GEC 
CONTROL "Check", 1002, BUTTON, Es DEFPUSHBUTTON | WS CHILD | WS VISIBLE 
CONTROL "Exit", 1003, BUTTON, Ba PUSHBUTTON | W5 CHILD | Wa VISIBLE | U 
h 
EM Dialog - 103 X] 
Mi crackmes = X] 





Serial: |o Exit | 





Nota: Hemos incluido esta parte para concienciarnos de la importancia que tiene 
ejecutar una aplicación nada más cargarla en Olly. Es la tinica manera de obtener 
informacion tan valiosa como el periodo de prueba, caracteristicas especiales del 
serial, (si es hard-coded o dindmico), campos de texto, etc. 


Volvamos a lo que realmente nos interesa. Abrimos Olly y cargamos el nuevo 
ejecutable. Una vez realizado el primer paso, busquemos las cadenas de texto: 


OllyDbg - Crackme8 - [Text strings referenced in Crackmed:.text] 








[R] File View Debug Plugins Options Window Help Tools BreakPoint-> = |a| x| 
gr 44 X) KI + i + =m 7 

Address | Disassembly Text string E 

c64616849| PUSH Crackmes.madazanc ASCII "A problem has occurred" 

6048104E| PUSH Crackmed, Be4e62200 ASCII "There is no valid key for this name, please use another one." m 

paaaiaEC|PLSH Crackmes.hmdm23nB4 ASCII "PFFT." 

BB4616F 1) PUSH Crackmed, 66442354 ASCII "You might want to enter a name?" 

668481160| PUSH Crackmes.hmadm23H4 ASELI GEER les 

66461112| PUSH Crackmes, 66402340 ASCII "Thats not a proper serial.. Use a normal number between 1 and 2°32" e 

0ä461131| FUSH Crackmeg.Bhmadmn2338 ASCII "RIGHT" 

668481136| PUSH Crackmed, BE4e252C ASCII "You got itt" —— 

6684481142 | PUSH Crackmes. H64a2324 ASCII "WRONG" 

668441182] PUSH H (Initial CPU selection!) 
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De la busqueda anterior obtenemos la siguiente informacion: 


> La longitud del serial. 


> La posición del “good boy”. 


Hacemos doble clic en el mensaje de nuestro “good boy", lo que nos abre la ventana de 
desensamblaje con el área que nos interesa: 


OllyDbg - Crackme8 - [CPU - main thread, module Crackme&] 



































BE4616FA 
pada81B8FB 
pia3a81B8FC 
66461161 
66461162 
6684411685 
668441168 
664611680 
86461160 
6441112 





66441131 
664401136 
66461136 
66461130 
pa381142 


piada114LD 
66401154 
66401155 
66441156 
668441161 


bb4811ra 


SISEISN 
515 15h) 
4 


[c] File View Debug Plugins Options 
Lex 44] A 





Window Help Tools BreakPoint-> 


Alc o 


b- ii 


ZE 


PUSH ESI 
PUSH ESI 
PUSH 3E9 
PUSH EDI 






Gë 

55 

62 EUB3BBBdB 
or 

FF15 14264688 
3ECÉ 

r5 14 

SÉ 

68 Hdj234nman 
ee 46234068 






CHF EA», ESI 
FUSH ESI 
FUSH 

PUSH 
POSH EDI 







Bo481113 FF1S 10204000 p OWORO PTR OS: C<ELISERS2. MessageBoxA>] 
BE4G111E EB H9 

46401120 5B PUSH EA 
46441121 2045 CC 

B04801124 5 

66401125 ES DÉFEFFFF 

B4a112n DECH TEST EAs, EAS 
46441120 59 POP ECH 
Bo4a8112D 53 POP ECH 
Bo48112E 56 PUSH ESI 
SEAN r4 DC JE 









DÉI 38234668 
Bes ae 


Al B4j2324man 
68 24254888 


PUSH 
PUSH 


HOW EAS, DWORD PTR DS: [4682364] 
PUSH 





pia3a8011347 GH HE PUSH GE 
6401149 53 FOP EC» 
6640114A 23 CD 

pa38114B Fetz IDIU ECH 


PUSH DWORD PTR DS: CEDX*4+4a2028] 
PUSH EDI 

CALL DWORD PTR OS: C<2USERS2. MessageBox A>] 
INC DWORD PTR DS: (462364) 

CHP OWORO PTR DS: [462364], 0E 


FF3495 22284006 
or 


FF15 16264688 
FFH5 B4234BBB8 
S330 B4234888 HE 






aag4a1168 DEG SBFFFFFF JHZ CrackmesS. 66401609 
a648116E Ee PUSH ESI 
GG40116F PUSH EDI 









57 
ES 4EFFFFFF 
5645 B8 

Az AC234008 
ES 4TFFFFFF 


6A Bä 
AR 251 bd 


OW EAS, 
OU DWORD PTR OS: C4623AC], EA» 





CALL DWORD PTR DS:Lr«&USERS2.GetDlaltemInt?1 


s 
A 
E — | HE 
Iz5ianed = TRUE " 
psuccess = FFFFFFFF 
ControlIO = SE9 (1861. 1 


hind = 7C920738 
GetOlaltemint 


ASCII "FFFT." 

ASCII "Thats not a proper serial.. 
hOwner = rC920738 

MessageBox 


Use a normal num 


kernel32.rC816D4F 
kernel22.7C816D4F 


ASCII "RIGHT" 


ASCII “You got itt 


Title = "WRONG" 
kernel22.7C816D4F 


Text 
hOwner = rC392H80738 
Hess aoeboun 


ntdll.rCo2arss 
Crackmes.< Modu leEntryPoint?: Case 116 (WH_INITOIALOE 


[Parar = NULL id 
NlaProc = Crack meñ. Pä) ARS 


Dos líneas más arriba tenemos una instrucción de salto, en la dirección 40112F 


(JE SHORT Crackme$8.00401 13D) que es precedida por una intrucción de comparación 
en la dirección 40112A (TEST EAX,EAX) y el "bad boy" cuya rutina empieza en la 
dirección 401 13D. 


Ponemos un Breakpoint en la instrucción del salto y ejecutamos el programa. 


Introducimos un nombre y un serial, hacemos clic en “Check” y vemos como Olly se 
detiene en el Breakpoint. 








p646112A SECH TEST EN, EAS 
SÉIER 3 POP ECH 
66461120 55 POP EC 
B64B112E ||. 56 PUSH ESI 
werd BC JE SHORT Crackmes. 66461130 
MM Crackmes X] 
4] 
Name: [manuel Check 
Serial: [123456789 Exit | 
2828] 
¿MessadeBor A? 





ac JE 
68 338234866 PUSH 






p64B1151 
66481136 68 20234866 PUSH 

46441138 EE DA HP 

668461130 Al BE4224888 HOU ERY, DWORD PTR DS: [462364] 

66481142 68 24224888 PUSH Erackmes.0482324 

66481147 6H BE PUSH BE 

88481149 5a FOF ECX 

66846114A ga coo 

6461146 EFFES IDIU ECX 

668461140 FF3495 28204000 | PUSH DWORD PTR DS: LrEDE«4-48028281 

66481154 ET PUSH EDI 

664681155 FFiS 18284888 CALL DHORDO PTR DS: C<2USER3Z. MessageBosA>] 


kernelS2.7C8834FC 
ntdll.?C92D28E 
ntdll.7cC92D28E 


ASCII 
ASCII 


"RIGHT" 


"Un got it*" 


Title = “WRONG” 
ntdll.v7C92D28E 


kernel32.lstrcmpiH 
eut 

hüwner = MULL 
MessadeBoxA 


ASCII "RIGHT" 


ASCII "ou got itt 


Title = "WRONG" 


Text = "We're just as far as when we started sf 
hOwners = mHazsmide ["Crackmes", class=" s#327 78" ] 
MHessageboxA 
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Vemos que Olly tomará el salto hacia el “bad boy", lo que significa que tenemos 
que cambiar el valor de la bandera Z haciendo doble clic sobre el uno. 

















Sar JE 
ab4alisi ||. ES 2234006 PUSH ASCII "RIGHT" 
aa4a1126 || Hee Eczz46600 PUSH ASCII "Vou aot itt" 
aa4a1138 || .E EE BA MP 

ab4e1130 |l : Ba 224085 MOL ERX,DWORD PTR OS: (462364) | 


Vemos que el color de flecha cambio a gris. Si ahora pulsamos F9 saltamos directamente hacia 
el “good boy". 


RIGHT x 


You got it! 


Por último nos queda parchear el programa. Reiniciamos la aplicación, 
buscamos el Breakpoint a través de la ventana (B), nos situamos encima, pulsamos la 
barra espaciadora y cambiamos la instrucción del salto por NOP. De esta forma nos 
aseguramos de saltar siempre al “good boy". 





ae aa aa 









BE | -74 oc 
ASCII "RIGHT" 
Assemble at 0040112F Kä ASCII "You got itt" 
364] 
MOP * Title = "WRONG" 
kernels32.TCS816D4F 
[v^ Fill with NOP's [ Assemble | E | 
4682028] Text 
hOwner = rCc928738 
27% Mec: ancar >T Me<< snePewoO 













i an HOP 
CEECEE ag HOP 
añdaiisi |. 68 38234000 PUSH 


ASCII "RIGHT" 
AS 










Be4611iS6 |. 68 2023460600 PUSH CII "You got itt" 
aa4alisB ||.” EB JHF 

A401130 ||» Al B42324000 HOL EAS, DWORD PTR OS: [482364] 

amamii4z ||. 68 24234000 PUSH Crackmed. 00402324 Title = "WRONG" 
Be4a11i47 |. 6A op PUSH GE 

Bedaiida|f. 59 FOF ECX kerne LBZ. PCS1604F 
sa4al14A ||. 99 

Bada114e ||. Gate IDIN ECH 

amámii4D ||. FF3495 28204006 | PUSH DWORD PTR DS:LEDE*4-4802828] Text 

Bgaaaoiisa4 ||. hOwner = PTC928738 
amámnii55s ||. FFiS 10264600 CALL DWORD PTR OS: (<&USERS2. MessageBos A] HessageBozsH 


Guardamos el binario modificado como un ejecutable nuevo en nuestro disco duro. 


Tareas de archivo y carpeta * 


o Crear nueva carpeta canya cany ou, dll Crackmed 


Ed Publicar esta carpeta en Web 
Ki Compartir esta carpeta 


ResourceH,,, Crackmed_ 
Otros sitios 





Hacemos doble clic sobre el parche e introducimos un nombre y serial cualquiera: 


Lrackme& x 
Bi crackmes OOOO x TE i 


Name: [manuel | Check | You gat it! 
aerial: (1123456789 Exit > | aceptar ] 
| E - 
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7.5 Caso practico 5: Marco de referencias 


Abrimos Olly y cargamos carckme3.exe. Una vez cargado se detendra en el 
"Entry Point". Pulsamos F9 para ejecutar el programa y ver su comportamiento. 


BER 


File Help 


Seleccionamos “Help” -> “Register”. Introducimos un nombre y serial para ver 
la respuesta del programa. 


CI x 


Name [manuel 23 
Serial fi ¿3456789 


E > A Ma luck there, mate! 
OK Cancel 
KE) 


Noluckt es 


En programas tan pequefios como el que estamos analizando a veces basta con 
bajar unas cuantas páginas para encontrar algo interesante. 
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OllyDbg - Crackme3.EXE - [CPU - main thread, module Crackme3] 














[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 












5 a " " " a BR em | NEN 
Running edd xl KU See ee) ascdI el e SC 
66441=36E 53 EE» = 
e461 3AF Ge PUSH ESI 

644413140 5? F 

He461511 S170 mc 11616606 

He461518 Cé 12 

He461310 S370 ØC 14 

He46151E Cé 15 

He461328 BS bm 

Ha461s25 GE Hei SF254 

HA461326 5E BHaglsFz54 

pBadddi13zr9 5B BHadlsFz54 

mada13z8 co 

Ha461529 C2 1666 

He46132C S170 16 F263400a8 

66441335 T5 11 

64441335 GH Ae Result = 

Ha461537 FF?5 oo [nina = YLDIEE18 

64441338 ES 7301ġġ0ġğ End ialoa 

Be46133F BS 81866006 

64441344 EB OF 

66441346 BS Bim 

66441346 EB D 

664441340 6A 3H Style = NB_LOKIMNB_ICONEXCLANATION | MB_APPLAODAL 
He46154F 63 29214006 Title = "Good work t" 

444681354 BS 234214060 Text = “Great work, matet=rNow try the next CrackHet" 
64441359 FF?5 oo hOwner = FCSLIEE1S 

64441355 ES Lama HeszageBosH 

66441351 C3 

64441362 GH Ae ous = HB üK 

64401364 ES OUGpoop HezzaaeBeep 

He461569 6A 3H Style = HB üKiHB ICOHEZCLBHHBHTIGONM:HME BPPLEHCOLDHL 
64441356 65 662145008 Title = "Ho Luck*" 

444681374 BS 59214064 Text = "Ho luck there, matet" 

Be4e61375 FF?5 oo hOwner = FCSLIEE1S 

He4613875 ES BORRRERE HeszzageBosH 

Be461370 C3 

Aa4e137 BBr424 B4 HOU ESI, OMORO PTR SS: TESP+4] 

He461582 Ge PUSH ESI 

agal 3853 SABE HOW AL,BYTE PTR OS:CESII 

64441355 S4CH TEST AL,AL 

aqal asr Cd 13 

66441359 SC 41 CHP AL, +1 

44441388 re 1F JE 

66441350 ac BH CHF DL, Ep 

aa4a138F 73 63 JNE 

66441331 de IMC ESI 

pada1392 EB EF 

66441394 ES 39888008 SS 





"| | 


Hemos encontrado al “good boy" y al “bad boy". Ambas regiones están 
delimitadas por la API “MessageBoxA”. Veamos el significado de la API. 
Seleccionamos la línea y hacemos clic con el botón derecho -> “Help on symbolic 
names”. 


http://masteracsi.ual.es/ 





Y Win32 Programmer's Reference g E inl x| 


Archivo Edición Marcador Opciones Ayuda 
Ets 





MessageBox 


The MessageBox function creates, displays, and operates a message box. The message box contains an application-defined message and title, plus any combination of = 
predefined icons and push buttons. 


int MessageBox( 


HWND ^Wnd, A handle of owner window 
LPCTSTR i»7Tex, // address of text in message box 
LPCTSTR ipCapition, // address of title of message box 
UINT »7ype // style of message box 
k 
Parameters 
hind 


Identifies the owner window of the message box to be created. If this parameter is NULL, the message box has no owner window. 
loText 
Points to a null-terminated string containing the message to be displayed. 
lpCaption 
Points to a null-terminated string used for the dialog box title. If this parameter is NULL, the default title Error is used. 
uType 
Specifies a set of bit flags that determine the contents and behavior ofthe dialog box. This parameter can be a combination of flags from the following groups of flags. 
Specify one ofthe following flags to indicate the buttons contained in the message box: 


Flag Meaning 

MB_ABORTRETRYIGNORE The message box contains three push buttons: Abort, Retry, and Ignore. 

MB_OK The message box contains one push button: OK. This is the default. 

MB_OKCANCEL The message box contains two push buttons: OK and Cancel. 

MB_RETRYCANCEL The message box contains two push buttons: Retry and Cancel. 

MB_YESNO The message box contains two push buttons: Yes and No. 

MB_YESNOCANCEL The message box contains three push buttons: Yes, No, and Cancel. 
Specify one of the following flags to display an icon in the message box: 

Flag Meaning 

MB_ICONEXCLAMATION, An exclamation-point icon appears in the message box. 


MB ICONVVARNING 


MB ICONINFORMATION, MB ICONASTERISK An icon consisting of a lowercase letter / in a circle appears in the message box. 


De la definición podemos sacar la siguiente conclusión: Olly prepara los 
argumentos para ser pasados a la función junto con la llamada a esa función. S1 nos 
fijamos en el área del “good boy" vemos que: 


> El primer argumento corresponde al estilo de la ventana. 

> El segundo argumento corresponde al título de la ventana: “Good Work”. 

> El tercer argumento corresponde al texto de la ventana: “Great work. ..". 

> El cuarto argumento corresponde al controlador del propietario de la ventana. 


Por ultimo se llama a “MessageBoxA” a través de la instrucción CALL. 





PUSH 3H Style = HB üKIHB ICOMESCLRHHRTIUM:ME BPPLHODRL 
Title = "Good uork*t'" 
Test = "Great work, matet =rNow try the next CrackMet™ 
hüuner = r?C981EE18 

CRLL MessageBoxA 


Unas cuantas líneas más arriba vemos varias instrucciones de salto, que 
determinarán si vamos a parar en el “good boy” o en el “bad boy”. 


Empezemos por estudiar el primer salto en la dirección 40134B. Si nos situamos 


encima, vemos que no nos lleva ni al “good boy" ni al “bad boy" sino a la dirección 
contraria. 
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HOU EAR, & 


BB13F254 
aalaFzb4 
ABÍSF254 


B Fase 


Result = & 
[tina =z 7C91EE18 
EndOialog 


ro B GI 
ES 73010000 
iG HL BRR 


DF 
Baa. 
Da 


Title = "Good work? 

Test = "Great work, Matet =rHow try the next CrackHe*t" 
hOwner = FC931EE18 

Mes=ageBoxA 





ES = MB_OK i HB_ ICONE (CLANAT ION: HE_AFFLMODAL 


FF7S B8 
ES Denaaaon 





La siguiente instrucción de salto en la dirección 401344, salta hacia la misma 
dirección que el primero. 


Si nos fijamos bien vemos que ambas instrucciones pertenecen a una misma 
rutina. Entre las dos primeras columnas vemos varias líneas negras que parecen separar 
'algo'. Pues bien Olly incorpora esas líneas para separar funciones diferentes. (Esta 
caracteristica de Olly no es aplicable a todos los programas, ya que a veces Olly es 
incapaz de diferenciar las distintas funciones). 














ES File View Debug Plugins Options Window Help Tools BreakPoint-> 
Running en 44 x bps] + Ar I: =j =| | [ MI | axel] el E El | mei" 


GU d aw] 
HB4BISFE ES B2BlBBBB EndDialog | m 

[60461508 ES BIO00BBÓ : 

| 66401305 


.^ ES TRFFFFFF ` 













1 
=n 
2 























r4 Lë 
2370 mc 16 
r4. 15 
BS mamada 


SF 46813F254 
SE 4613F254 
SE DIE ZA 
LS 
Cz 


GH B 

EE db, D 
ES 73010006 
BS 81 S888 


EB OF 
BS Düoppoop 
E pg 


Result = H 
[nina = PCaiEE1S 
EndDialog 












Title "Good work t" 
Text = “Great work, matet=rNow try the nest CrackHet'"" 


EH KI 
2 22214000 


E Style = MECOK IME ICONEXCLAMATION! ME_APPLMODAL 
68 34214000 | + 








i aadai3sacE 
DD 202 
| 00401383 > 
(60401355 : 
| ag4g1387 E 
 Däclol20 T 
|00401366 v 
| Biadaliaisnp il. 


» FFFS D hüwner = YES1EE18 

. Es DSABRAdA HezzaaeBosH 

S 6H kh f beer Tope = HB.üK 

» Es HUDD TER 

, 6A 38 Sty be = MBOK tHE ICOMERCLBHHT ION: HE BHPPLHÜODBHL 
.—9 S 54214004 Title =."No Luckt 

.—J DÉI 69214608 Text = "Ho Luck there, matet" 

, FFFS D hüuner = FC91EE1S 

. ES BIG HezzageBEnsH 

i C3 : 





En nuestro caso vemos que ambas instrucciones de salto estudiadas 
anteriormente pertenecen a la misma función. Y como ninguna de ellas salta hacia el 
“good boy” o el “bad boy”, no son de gran ayuda. Otra cosa que podemos observar de la 
figura anterior es que el “good boy" no pertenece a la misma función que el “bad boy". 
Esto signifca que estas funciones serán llamadas desde sitios diferentes donde habrá que 
tomar una decisión que nos llevará al mensaje bueno o al mensaje malo. Veamos cómo 
abordar este obstáculo; 
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Hacemos clic con el botón derecho en la primera línea de la función 
correspondiente al mensaje bueno (40134D) y seleccionamos "Find references to" 
"Selected command". 





OllyDbg - Crackme3.EXE - [CPU - main thread, module Crackme3] 
[e] Fie View Debug Plugins Options Window Help Tools BreakPoint-> 


-laj xi 
-lal xj 

















Running en dd Ni Kill bat DIS alt os 
SISEIAKKA . C2 1868 
esasisst | $ is 18 Femsaga Boun 
Badola333 || «e 75 11 Copy 
6401335 2 6A BE Result = Ø 
SISÉIZAKKER , FFFS DG Binary [tina = BAB2SABCA ["CrackMNe 1.6",cla: 
46441=3A , ES 3061060 EndOtalog 
Badais3SF ||. BS 61000600 Assemble Space 
64144 .^ EB OF 
He4h1S46 BS HERRERA Label 
6640134E EB DS : 
68461340 BH 3H Comment J Style = HB OKIHB ` ICONESCLAMATION i HE. 
Emdnmuia4F Be E init Title = "Good workt 
6401354 e reakpoin Text = "Great work, mate'-rhHow tru t 
BHe461559 EE e HS Hit trace hOwner = BREZERCH ('Crackhe vi.B'.cl 
ea SS Lamia MessageBox 
EEFE 
Bede 362 EA op Run trace BeepTupe = MB DK 
MAE ÉS ER Ud Äere Ce OK i MB ICOMESCLAMAT ION: HB. 
EET ; d * Style = 
SSES |: 6&8 EE Mew origin here Chrl+Gray a aps ck uaa a MER 
HE461S7 ||. 68 622140016 Go En Text = "Ho luck there, mate?" 
BE4H 1575 . FFrb5 DS hüwner = BRBSRRCA [E rackMe vl1.8"'.cl 
Be401378 ES Dpoooopp Follow in Dump k MessageBoxA 
641370 ES 
AB4Q1S7E rf  BB?424 84 View call tree Cbrl+k 
66401382 56 
641333 > BABË 
66401305 e4cn Search Far + 
464441387 ~ Cé 13 
an4glsso ac 41 Find references to + Selected command ` Ckrl--R 
5 SEES - 
nee - ie a View d Immediate constant 
EEES e fe Be Copy to executable + + 
4 Analysis d I 
Analyze This! SE 3 
Command 
IDAFicakar k 


| Unload E: Archivos de programa sv ` 5 | 


Se abrirá la ventana de “References”: 














OllyDbg - Crackme3.EXE - [References in Crackme3:CODE to 00401340] al | = | x] 
[R] File wiew Debug Plugins Options Window Help Tools BreakPoint-> - [8| x| 
Running rl a sl KI Rel ali | oa 
Address |Dizassemblu Comment E 
DA Za: CALL Crackmes,. 6604681340 
664481340| PUSH 38 (Initial CPU selection) 


Lo que nos muestra esta ventana son todas las referencias (CALL o JMP) que 
apuntan a la dirección 40134D, nuestro “good boy". Hacemos doble clic sobre la 
primera linea. 


be461245 
66441245 
DAT Zap 
Dap) Za 








werd ar 
» | E2 12816004 
^| EB YA 
A "EG FL 
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En la linea 40124C podemos ver la instrucción CALL Crackme3.0040134D, 
donde 40134D es la primera linea del “good boy". Ponemos un Breakpoint en esta linea 
y hacemos lo mismo con el “bad boy". 


werd B 

. | ES x 16668 
EB 9 

a ES Feononoe 

4^" EB 9 


Nos situamos en la primera linea de la función hacia el "bad boy", la dirección 
401362. Hacemos clic con el botón derecho y seleccionamos “Find references to” - 
“Selected command”, lo que abrirá la ventana de referencias. Seleccionamos la primera 
línea y hacemos doble clic, lo que nos situa en la dirección 401245. Vemos que la 
dirección que llama a nuestro “bad boy” se situa solo a dos lineas del Breakpoint 
anterior. Pongamos otro Breakpoint en 401245. 





66441241 » SBCS CHF EAs, EB 
Bmdinlzd3 | oy 74 Dé 
» ES 18818888 
4644124 .^ EB 9H 
^ ES FCRRREEE 
66481251 ^ EB 93 


Fijemonos que justo por encima del primer CALL aparece la primera instrucción 
de salto. Situemonos pues en la dirección 401243 con la instrucción JE SHORT 
Crackme3.0040124C, hacemos clic con el botón derecho y seleccionamos el signo de 
interrogación para abrir la ayuda mnemonic. 





Backup k 
Copy k 
Binary + 
Assemble Space 

Label 

Comment i 

Breakpoint k 
Hit trace d 
Run trace + 
Follow Enter 

Mew origin here Chrl+Gray * 
Ga Fa d 


hé 


Follow in Dump 


Search Far 

Find references to 
Vie 

Copy to executable 
Analysis 


e. F FE F 


Analyze This! 
ID AFicator + 


appearance d 
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^ Intel x86 Instructions E . [Gl x| 
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Jcc—Jump if Condition Is Met 


See ax 
Opcode Instruction Description a 
Ti CD JA rela Jump short if above (CF=0 and “F=0) 
Ta ch JAE reli Jump short if above or equal (CEA) 
T2 CD JB rete Jump short if below (CF217 
7B oh JBE ress Jump short if below or equal (CFz1 or ZF=11 
T2 ow JC rete Jump short if carry (CF=1) 
Es có JOAL rele Jump short if CX register is ü 
ES ch JECEZ rel Jump short if ECA register is O 
T4 ch JE rela Jump short if equal (£F=11 
TF ch JG rela Jump hort if greater LAF=0 and SF=OF) 
TD cb JGE rete Jump short if greater or equal (SF=OF) 
il CD JL rete Jump short if less (SF ==0F) 
TE ch JLE reiñ Jump hort if less or egual (£F=1 or SF==01F7 
Zb cù JMA rein Jump short if not above (CFz21 or ZFz1] 
T2 ow JNAE rete Jump short if not above or equal (CF=1] 
Ta ch JMB ress Jump short if not below (CF=0) 
Tri CD JNDE rei Jump short if not below or equal (CF=0 and £F=01 
T3 CD JN rers Jump short if not carry (CF=01 
To CD JNE refs Jump short if not equal (ZE) 
TE cb Ji rele Jump short if not greater (2F=1 or SFzzOF) 
il CD JNE refs Jump short if not greater or equal (SF==0F) 
TŪ cp JAIL rela Jump short if nat less (SF=0F) 
TF eb JALE ser Jump short if not less or equal (£F=0 and SF=01F1 
Ti ch JNO res Jump short if not overflow (OF sl) ~| 


Se abre una nueva ventana donde podemos ver el significado de JE. Jump 1f 
Equal (ZF = 1). O lo que es lo mismo, se saltará siempre y cuando la bandera Z = 1. (o 
cuando las dos cadenas que se comparen son iguales). Sabemos que si dos cadenas son 
iguales, JE va a tomar el salto. Podemos ver que la instrucción JE salta por encima del 
“bad boy” hacia el “good boy”. Si por el contrario JE no saltara, iríamos directamente 
hacia el “bad boy”. Así que queremos tomar este salto para poder hacer la llamada al 
mensaje bueno. 
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OllyDbg - Crackme3.EXE - [CPU - main thread, module Crackme3] 

























DAD ZC 
DAD 277 
DAT ZC 
DAD 252 
DAT 2727 
DAT 227 
664461230 
agaa1248 
DAT 241 
DAT 247 


DAT 240 


66441251 
DAD ZE 
DAD Ze 
DAD ZC 
4401259 
66481258 
66461261 
Bgdn1263 
DAT EA 
DAD ZG 
Bagdad? 
DAD ZC 
DAT ZC 
DAT Zeck 
DAT 2024 
Bgdn12s5 
DAD Ze 
DAD Ze 
DAD 207 
TSA ra Se 


4 
Jump 





D 
" 


m 


m 


.- BF84 31000090 
. S170 BC miBzBaBB 


uw 


ls taken 
Badgisz4c-Ccrackme 


65 
FFr5 BS 
e 


FFSS LSA 
ES vg 


o3FS ma 

r4 BE 

68 2ES14000 
ES 4CBlmmag 
5h 

e 


CES LA 
ES 926100466 
S3C4 m4 


Di 
Es 186148868 
aH 


ES FL 
a3 
Ca Bana 


Sori BC 168 


4 uc 
ee DD 







b- | Il 


5 E 

Old BC 1001008604 
4 34 

S170 mc 116010660 
4 35 





1646124 


[c| File View Debug Plugins Options Window Help Tools BreakPoint-> 
eh 44| X 


eje d | > ] 


FUSH OlgProc = Crackmes,. 004601253 E 
PUSH hūwner = 46461406 


PUSH plemplate = "DLG_REGIS"” 
PUSH OWORO PTR OS: [46246CcA 1 hInst = HULL 


OialogBo+ParamH 


E 


kernels32.rC8156D4F 


ntdll.rc928735 


kernel32.rC815D4F 
kernel32.rC8156D4F 
kernels32.rtC8156D4F 


Reiniciamos y pulsamos F9. En "Help" -> "Register" introducimos nuestras 
credenciales y hacemos clic en “OK”. 
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OllyDbg - Crackme3.EXE - [CPU - main thread, module Cra | 


[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 





Running 


46461464 
664081442 
66408106 
meae aa 
Adi i AAE 
Ha4e16135 
66481015 
mpngag1iduiH 
6646814015 
68481410 
664681627 
6441431 
660461 EIS 
60401445 
66401444 
66481 44F 
66441451 
6640814652 
664681457 
664681456 
664641461 
664015063 
64165 
6684681560 
SSES be 
66461431 
Higi 1056 
maga mau 
00401095 


4 









5 


"ELS 


ee 44| X 


b 





6A D 
ES FFa4anaa 
AS CBH2B4nnn 


eje rg p a 


PLISH & 







phoda le = NULL 
Get Modu LeHandleBH 
















Registers (FFU 





ll xl 
=lē]| x| 









dl 
"a 















MOU DWORD PTR DS:L4828CH1,ERX aa Pn 
E Title = NULL ed [EOX PCSIEBS4 ntdll.KiFastSystenCal (äer 
JT - fo O 
Sen CrackMe v1.0 =O) x| EEF BBl3F394 
HE ESI BaBBaamad 
CFOS 64204000 B File Help EDI BARBARA 
Cras ES20406b EIF 7CS1EBS4 ntdll.KiFastSustemCallRet 
Crus Deeg Br C A ES 0023 32bit BLFFFFFFFF) 
Geen P 1 CS @G1E 32bit BLFFFFFFFF) 
AS SAS h 1 Së @@23 32bit BLFFFFFFFFI 
2B oen ias 2 B DS 0023 32bit BLFFFFFFFF] 
EH . $ 1 FS 0036 32bit TFFDFBBarFFF) 
ES nimaanaua ` E GS Bible HULL 
Ao roc am [0 6 LastErr ERROR IMURLID HANDLE (88888886) 
6A Ga - EFL B8aBBa296 (NO, ME, NE, A, S, PE,L,LEJ 
co ecce No luck! = ë STA empty -1.6311042539797528570e+771 
Cres ELTE eil o ed EE ae xl STi emptu —2, 20957362994195957Bbe+880 
Cone S4504006 1A MOU DWORD PTR DS. [402i l ST2 empty -3.6050447140205949720e-335 
C aE Seeedaee EA wën DWORD PTR D, t4aace ETS empty +UNORM 4845 papagan ECOSEE44 
ES Gang H : Ma luck there, mate! P |3T4 empty -7.81388371711421r8228e-4786 
s E [STE empty -5.48l87693485293888628e-4689 
E be ume +Ñ ETE empty 0.00000051270765490900-4933 








Crackmes.<¿HModuleEntro Point 


Hes dump 


pmaama2am 
BE462018 
mpaaazasa 
Ba4aza038 
GISEISRSEIS 
Ba4azasa 
BASE 2868 
HARZ CH 
FAFA SHEE 
pads 
paaazanma 
HARZ 


BE 
Ba 
EB 
Ba 
Ba 
BE 
Ba 
pa 
65 
BE 
FE 
pa 
mia 










E4 
an 
HE 
Ae 
HE 
an 
AS 
BE 





P 
BA AE Be Ae 
Bn BE ma ma 
Ba ma ma Ae 
D BE 06 ma 
Ba AE ma Ae 
66 BE ma ma 
¿a 11 dp 46 
eB Hl 76 Du 
F4 26 44 mi 
BE EE Ha Du 
AA Ae Be Ae 
D DU BE BE) e 


HpLZ2EECA 
BHaLSFFCS 
mai3sFFCC 
HpL2EEDG 
Hei SFFO4 
HELSFFOS 
mai3sFFDc 
HpL2EEER 
maisFFE4 
HagisFFES 
pnaiarFFEC 
mai3FFF 
Ha1SFFF4 
BELSFFFS 


EI 


TCBIGDAF 
BESSER 
FFFFFFFF 
TFFDeaaB 
BBE43DFD 
BB13FFCE 
S15E5116 
FFFFFFFF 
TCERUSFS 
TCB16D58 
Bae) 
Gonoooop 
Gopooop 
00401000 


empty -UNORM BEAS 66000461 SASDEADA 
B EU Ug ESPFPUOZOI 
FST 4626 Cond 18 BB Evr OO 188686 (E 


BerF Prec NEAR,5SS Mask II 


RETURN to kernelS2, Y281604F E 
ntdll,rCc928738 


End af SEH chain 
SE handler 
kernel3z2.708186D58 


Crackmea3.znoduleEntruPaoint:- 


; Ha aparecido un “bad boy" sin que el programa se haya detenido en el primer 
Breakpoint ! 


Reiniciemos la aplicación y busquemos por cadenas de texto: 





OllyDbg - Crackme3.EXE - [Text strings referenced in Crackme3:CODE] 


[R] File View Debug Plugins Options 
ex 44) X 


Address 


paqal HAE 
468401610 
paq4alarr 
4684481651 
HA) pe 
BE46186C 
q684811F7 
Bo481213 
HA) 24E 





Bag4a13B4 


| Il 


Disassembly 


8 


Window Helo Tools 
duu d = 


Tent string 


BreakPoint- = 






PUSH Crackmes, HE4h2 HF 4 ASCII "Ma need to dizazm the code*" 
HOW DWORD PTR OS: (4826641), 4663 [Initial CRU selection] 

HOU DWORD PTR OS: [462684], Crackme ASCII "MENU 

HOU DWORD PTR DS: [4624321], Crackme ASCII "Ho need to disasm the codet" 
PUSH Crackme3.tBbidadzHE? ASCII "ErackMe wi. Bit 

PUSH Erackmes, BE4826F4 ASCII "Mo need to disasm the codet™ 
PUSH Erackmes. b644211F ASCII "DLG_ABONT"" 

PUSH Erackmes, bb4a2115 ASCII "OLG_REGIS"" 

PUSH Erackmes,. 6442123 ASCII "Good work t™ 

PUSH Crackmes,. Bb4h2154 ASCII "Great work, tet*rMowu tru the next CrackMet™ 
PUSH Erackmes. 664421650 ASCII "Ho luck*t" 

PUSH Erackmes, 6482169 ASCII "Ho luck the matet" 

PUSH Erackmes. 66442165 ASCII "Ho Iuckanm 

PUSH Crackmes3.tBmddgz]e9 ASCII "Ho luck there, mate?” 


Vemos que hay dos “bad boys” y solo un “good boy”. Hemos 


comprobado que la 


dirección 40136B va hacia el “bad boy”, ¿pero qué pasa si hacemos doble clic sobre la dirección 
4013AF? 
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OllyDbg - Crackme3.EXE - [CPU - main thread, module Crackme3] 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 


ex 44) X 










adil: 
Ba481: 
Ba481: 
64461: 
6444138 
09481389 


TJ 07 00 P3 [TI 


tu cau OO 
Te OO co cn =] 





'D 
B648138F 
664681391 
64441392 
66441334 
9604081399 
66481394 
6444139 
44441390 
Be481 SAZ 
BE461508 
86461300 
64441 SAC 
64441 200 
piad813B8F 
SEA) 
Ba4813B3 
Ba4813BC 
Eh 





ab4a13CC 
HAT SCE 
66441 SCF 
6684681301 
66481302 
64441304 
64441306 
66481S0r 
6646105 
86461308 
844613500 
Be461350E 
Ba4gi3E2 
Andhi Ses 
4 





64441 SAC 
664681 =3A0D 
Bagai 2AF 
66481364 
66481369 
epa inn 


F9. Introducimos nuestro nombre y contrasefia. 





E 


e o. 


A 


nv 


> 


Wren n s 
A x 





E ad 


EF 
ES 39000600 
EE Er 


D 20060660 
SIFY rS5enmsa 
SEC? 


EE 15 


SE 
6A 3H 


EE ek, BS 
E r3868808688 


BBr4d24 H4 
Ba HA 
aniF 


EE D 
ES 73608008 
C3 





KU 
















wis: 


MOL ESI, 
FUSH ESI 
MOL) ER pate PTR DS: CEST] 
BE San e 
CrP Arpal 
E? AL, SA 


mE LES 


4i Ji adi =: 






















IHC ESI 


JP SHORT Crackmes. 00401383 
POP ESI 


ADR EDI, 56rd 
MOL EAX, EDI 


POP ESI 
PUSH 3H 
PUSH 
i mmm 
MDC e 





REIN EDI,EDI 
ADR EBX, EBs 
MOL BL,BYTE PTR DS: CEST] 
TEST BL,BL 


HDD EDI,EBX 
IHC ESI 
SHORT Crackmed. 86401306 


SUB AL, 26 
HOU BYTE PTR DS: CESI], AL 





HOR EAH, EAX 

HOR EDI, EDI 

HOR EBX, EBX 

HOU ESI, DWORD PTR SS: TESP+4] 
HOU AL, BA 

HOU H .RYTF PTR MS: FST] 


Crackmes, 664421387 


Crackmes, HBA462187 


Crackmes, 66442187 
Crackmes, HA46215E 


Crackmes, BA46215E 

Style = HB DEI ICONESCLANATION | HB. HPFLHÜLDRL. 
Title = "Ho luck? 

Text = "Ho luck there, matet" 


hOuner = BRSCERES i" CrackHe 1.6", ,clas=="No need to disasm the c 


HessageBoxH 


Crackmes, Bal 


CErackmes, 4442158E 

Style = MB_ZOKIMB_ ICOMEXCLAMATION: HB. HPFLHUÜLDHL 
Title = "Ha luck? 

Text = "Ho luck there, matet'" 


Ix [x 


Be 


Este “bad boy" se encuentra en una sección completamente diferente de la memoria. La 
instrucción de salto más próxima está en la dirección 4013AA, y si nos situamos encima de ella 
Olly nos muestra una flecha roja cuyo destino está fuera del área del mensaje malo. 


han er: = DDZCDDED ("CrackHe v1.8", class="No need to disasm the c 


Hes=ageBosA 


Ponemos un Breakpoint en la instrucción del salto, reiniciamos la aplicación y pulsamos 
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OllyDbg - Crackme3.EXE - Nu 


File View Debug Plugins 
ey dd] X 





Hunning 





Window Help Tools 
ejes ad 4 


Options 
b- | 1] 


BreakPoint- > 
+ 





CPU - main thread, module Crackme3 


66401000 
DAD LD. 
DAD LD 
BE4+6 HaC 
46441 AE 
46441613 
BH4H1818 
BE4816140 
44468141 
4644681410 
444081427 
66461431 
464401436 
44401445 
4440144A 
BE46164F 
44441451 
44461452 
44401457 
Dal DEL 
46441461 
44401663 
464401468 
444681460 
Badia? 
44401431 
44401436 
44401430 
44401435 
BE4h 197 
44481420 
BES 16'9F 
Hall 
Dap) BAE 
Dap) OU 
BE4616A0 
BE4H 1 BBS 


4 


GH Ba 
ES FFü4anmnad 
AS CACO4aBa 


eH a 
GE 


FAHA 
ES Han 
HECH 


PUSH & 


CrackMe ¥1.0 


File Help 


010304046 
Für 
Ode 


Hamid 


H 
HG 
HG 


GE 


Bana 
BRARACFAA 


CALL <JMP.&USERS2. Loz 
MOU DWORD PTR DS: C42 
HOU DWORD PTR DS: [42 
HOU DWORD PTR DS: [42 
HOU DWORD PTR DS: (Ap: 
PUSH 


PUSH & 
PUSH OWORO PTR OS: C46 
PUSH & 


H 

SHAE 
SHA 

GE 

GIE 

HL EDD 


Ro te = HULL 
GEetMody LeHandleA 


MALL ring PTR ME: Tda?arod FoR 


L 
ial x] need to dizazm the 


A Ma luck there, mate! 


o dizasm the t 


kme3.Bddmn2ad64 


3 IL = 
Height = SHH (327168. ) 
Width = S5006 (527685, ] 
Y = E (118.) 
2 = B4 (158. ) 


Style = WS OUERLDPPED (| WS HIHMI[ Z 





¡ Parace que tenemos que profundicar aún más en el estudio del código ! 


A 


Centremonos en la sección del código que está delimitada por una barra negra en la 
columna de los opcodes (Sabemos del analisis anterior que se trata del principio y el fin de una 
función): 












Running 


DAD Zen 
DGApl2et 
Bede S78 
Ha4h1370 F 
Bede STE irs 
Bade 1 See c 
664413553 > 
6461355 


ae4nissr ||. 


64441329 


ae4nissB ||. 


66401330 


ma4missrF || .- 


HE4G1TS91 


aadaisse ||.^ 


60461393 || > 
60461399 


essarasa || .^ 


aa4ni29c || > 
BE481S90 ||. 
Bede 1 Sas 
BRB ISAS 


aed4aisen ||. 


HEFETSAC |] > 
664613980 
BEET SAF 
664015354 
66401359 
nda TSEC 
BRIG SC1 


BH4BL SCE. || > 
Bagai 
66441 
adhi: 
adal: 
He4B 1S i 
664681301 A 
HpAp1 S02 E 


= 


nuu 
Mm MA DO 


x coron 
Co 


6646130 
66441306 
6646130 | a 
adh 30S [^ 
ARAL Sn d 
4 


OllyDbg - Crackme3.EXE - [CPU - main thread, module Crackme3] 
[€] File View une Plugins Options ues Help ` EE BreakPoint- = 


FFr5 Ha 

ES BORRERRE 
CS d 
SBr4dz4 B4 
55 


ES 390006806 
EB ET 


D 26880888 
SIER rabenaad 











AUR LJ 
HOR EBS, EBX 
MOL BL,BYTE PTR OS:CESTI 
EST BL,BL 


Bon ED i me REN 
C ESI 


UB AL, 26 
MOL BYTE PTR DS: [ESI], AL 





AUR EAs, EAs 
KOR EDIT EI 


Test = "Ma Luck there, matet™ 
hBüwner = NULL 
Hes=ageBoxA 


USERS. TrOD2r561 


Be1SF2E4 


palsr2E4 
Es = MEOE i MEL TICOMESELAMAT ION | HB. HPPLHODRL. 








Title = "No: Luck? 
Text = 
hüwner: = HULL 
HessageBoxA 


"Ho luck there, mate?" 
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a 


En la primera parte vemos un loop que se inicia con la instrucci6n TEST AL, AL. Esta 
instrucción compara si AL es igual a cero. A continuación sigue comparando AL con diferentes 
caracteres hexadecimales y segün el resultado de esa comparación se realizará un salto o no. 


Averiguemos primero quien está llamando a nuestro “bad boy". Para ello hacemos clic 
en la dirección 4013AC, y vemos como aparece una flecha roja cuyo origen está en la dirección 
40138B. 





OllyDbg - Crackme3.EXE - [CPU - main thread, module Crackme3] a i = |a | 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> - [5] 


el 44 X| Kl bat Be) de) all oa mI? 






Running 















Badaiséz rs 6A oe Cëeeplye HE OK al 
64441564 . ES ADHERE Leen 

Be4ais69 |. 6A 3a Style = MB DKIMB ICOMEXCLRHRTIONIME RPPLMODRL 

asmanisep ||. 68 562190606 Title = "Ma luck? 

Biadaiaru .— 58 69214068 Text = SE E there, mate*t*'" 

90481375 . FF?5 88 hOwner = 

BHnadadgiaps . Es BORBRREE oad ia 

andaian bL. ca 

BBáBlSTE r  SBrT424 B4 USER22. 77027581 

Baagissz 56 ES 

aa4aisss |] > MOL! AL, BYTE PTR DS:rESIJ E 
Baa4gisss TEST AL,A 

aa4aiss7 || v JE SHORT Erackme3. 00401350 

Bass E BL, 41 

ooAp12ep |. JE SHORT Crackme3. B04813A0 

aa4aissn ||. cni: AL, 5A 

aa4al28F ||.- JNE SHORT Cracked. 00401394 

A401231 





Badgi392 ||.^|EB EF 
Baagisog4 |f > [ES 39000606 
BA4H1S99 ||. | 46 

Badgl39H ||.^|EB ET 


IHC Sheet ence 



















BE4H1S9C |} > | SE POP E DIE ZEA 

amdaiz9D |}. | ES 260000606 

amdaizHz |}. | S1Fr rabemaans ADR EDI, 5675 

Dale |]. | SEC? MOL EAX, EDI 

66461=3AR || .~| EB 15 

BE4H1SAC |] > +5E aa1=3F2E4 

BE4H1SA0 |}. 6A 38 Style = MB_OKiMB_ ICOMESCLAMAT ION: ME_APPLHMÓDIAL 
Ba4B1SAF |}. Gë 50214006 Title = "Ho luckt 

amg4Biab4 |}. 68 693214066 Text = "Ho luck there, mate?" 
BE4H1SB9 |. FFrS B8 hOwner = NULL 

amg4Bis3BC |}. ES r9mmaansa MessageBoxA 

40481301 A C3 

BE4H1SC2 |r 33FF ADR EDI,EDI 

amgdaizc4 ||. S506 ADR EBs, EBA 

BE4G1SC6 ||» SALE MOL BL,BYTE PTR DS:LESII] 

Dap) 2 S406 TEST BL, EL 

60461 ZCA v 74 BE JE 

ag4a13cc ASFB ADD EDI, EBs 

60461 =CE 46 INC ESI 





SHORT Crackmes, 88461306 
SUB AL, 2B a 
Mni RYTF PTR DS: TEST. D 

k 


Ponemos un Breakpoint, reiniciamos la aplicación y pulsamos F9. Introducimos nuestro 
nombre y contrasefia. 


Ba4alacF ||.^ EB FS 
Ba4aisni [Lo cs 
agaian [13 20 20 


Hi Ara 
4 
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OllyDbg - Crackme3.EXE - [CPU - main thread, module Crackme3] -|| > 
[4 File "View Debug Plugins Options Window Help Tools BreakPoint-> -|| > 
a da] Sl Kl bot lb] ali a HHE 
6401369 : Style = HB üUKiMB ICOMEXCLHHHRHTIUONM:ME BPPLHODRL A 
66401366 . 68 5421340604 Title = "Ho luckt" 
pied 1 3r : 63714088 


Be4ea1s75 
adgdalara 











r5 DG 
. ES Popp 
























3H E 
Text = "Ho luck there, matet'" 
hüner = BESFRBER ('CrackhHe 1.6”, ,clas=="No need to disasm the c 
HessageBasH 


aadaisro IL ca 
AJALISTE p  S8B7424 B4 HOW ESI, DWORD PIR SS:rESP*41 CrackmeS. 66481232 
aadeisse ||. 56 FUSH ESI CrackmeS. B648218E 
aadaisss ||» snae HOW AL,EVYTE PTR DE:LESIJ 
Badaiss5 ||. 2406 TEST AL, AL 
ab4a1zs? || iv 74 13 SHORT Crackme3. 00401259C EI 
aadaissa ||. 3C 41 CHF AL, 41 
eran |e JB SHORT CrackmeS. G84013AC 
aadaeisso ||. | 3c 5A 
AA4G1S8F || .~| 73 63 SHORT Crackmed. 00401394 
aadeissi ||. | 46 CrackmeS. G840215E 
padais || .^| EB EF 
aadais9d || > | ES 32aaaaaa 
aadeisoa ||. | 46 Crackme2. 4840215E 
aa4a1s948 || .^| EB E? 
am4miaoc || > | SE POP ESI Crackme2. B0646218E 
amamison ||. | ES 2060060068 
amamisns ||. | S1F7 72560666 WOR EDL, Sere 
aadaisne ||. | sec? HOW EBX,EDI 
BadaisAn || IER 15 JHE 
aa4aiSnc || > 5E POP ESI CrackmeS. @840213E 
am4aiann ||. cp aa PUSH 34 Style = MB OK!ME ICOMEXCLBRHRTION!ME RPPLHODRL 
AA4G1S0F ||. 69 60214000 PUSH Title = "No luck?" 
anmamisp4 ||. 68 69214006 PUSH Text = "Ma luck there, matet" 
H644813B9 =-  FFr5 D PLUSH hOwner = BRSFRABER ['CrackHMe v1." ,.class="Ho need to dizazm the c 
A461 SBC ES romam BEE Hess ageEoxA 
aadeisci L> cs 
Bad4aisC2 |r  S3FF “OR EDI,EDI 
B4m12Sc4 5206 “OR EBH, EBS 
aadeisce || > BALE HOW BL,BYTE PTR DS:rESIJ 
aadeisce ||. S406 TEST BL,BL 
Ba4niSch || .« 74 65 
Ba4miscc ||. ASFB ADO EDI, EB 
aa4B1SCE ||. 46 INC ESI CrackmeS. @840219E 
Ba4G13CF ||.^ EB FS SHORT CrackmeS. 68401306 
aadeisoi L> cs 
BA4G1S02 let 20 20 SUB AL, =o 
86441304 [: 2506 HOW BYTE PTR OS: CESII,AL 
ma4aispe |L. C3 
44441207 s C3 


«al | 


Vemos como Olly se detiene en nuestro Breakpoint. (; Vamos por buen camino!) 


" 


El color de la flecha se volvio gris lo que nos indica que no vamos a saltar hacia el “bad 
boy". Como estamos detenidos dentro de un loop, pulsamos F9 hasta ejecutar todas las 
iteraciones. En algunas vueltas, la flecha cambiará al color rojo y como estamos ante una 
instrucción JB bastará con cambiar el valor de la bandera C para devolver el color gris a la 
flecha y asi asegurarnos de no saltar. 





OllyDbg - Crackme3.EXE - [CPU - main thread, module Crackme3] 
[c] File View Debug Plugins Options 


e déi xX} KI + 


Window Help Tools EreakPoint-> 


4 HU] A 3 














Running 








-|| x 


















EEEE eH 3B Style = MBOK ME ICOMEXCL a lesten (FPL) 

60401366 68 50214000 Title = "Ho luckt" -— KEE 

AERE 68 69214004 Text = "Mo luck there, ma BBlsFDEB 

90401378 FFr5 o hOwner = GESFEGER ("Crack Eo FCSIEBS4 ntdll.KiFastSustemCallRet 
‘Ae ari D 


Dp4pl2ch 
Be48137E 





ES SERGE 
SBr4z4 B4 

































MessageBox EBX BEBE 
Crackmes, 04412 EE 






RETES 56 I CrackmeS. 00402194 SC ET uos 
BB4BlsEs SABE MOU_AL.BYTE PTR OS: CEST a 
00481385 B4CA TEST AL, AL 
GK S37 r4 13 ELE Crackmes. 06461 3AC 
mmm ` iE SHORT, Cracknes. 0040190 SE 
EET) ar 5 Lt 

SSES || «| 78 88 SHORT Cracknes. 00401394 n 8 35 gaze Sbit BLFFFFFFFFI 
amissi ||: | 46 INC ESI Crackmes. 00402194 ees e er ERE 
am4nis54 || > | Es 39000006 | "E Us 
eaten ||| Pall a SHORT Crackme3. 00401383 p elas Ü 8 LastErr ERROR SUCCESS (990900991 
ae4e1izac || > | SE POP ESI Crackmes. 00402194 EFL #6@e8266 iNO, ME, ME, A, S, PE, L, LE) 
ga4e1250 ||. | Es saeneenan l 
ocap1sno ||: | Birr rescases | HOR EDI, S678 ST] empty -??? FFFF GOFFOOFF GOFFOOFF 
desir IA AER Satna ST2 empty -??? FFFF GABBBBDS BBCFBBCT 
dure tee ae ore Se ease on STS empty -??? FFFF BBBBBBDS BACFBBET 
cerrar Eder fe Heer A come] ST4 empty -??? FFFF BOD4DACS Ban4pece 
441 201 ` GH au Sty le = HB ükiMB ICOMHERSCL STS empty —?? FFFF hAnbaanmp4 mapeaamoca 
pene ||[2 D: s itle = għo eee Qe. ma [STS empty -??* FFFF 88888888 GG 

d A ai ei D D de EAT = LI CK |er-e, HE. 
ga4eise9 ||: FF75 68 acnee aar Grech [rcp EU ee ea 
e LE MES aoe Peay FST 6998 Cond GGG Err oponor 
354681 SC: > CS 
aagal |p$ S3FF WDR EDI.EDI ADM M LI C 
am4Bi3r4 ||. 3306 WDR EEX, EBS 
padeisce || > SAIE HOU EC BYTE PTR OS: ESI] 
padeisce ||. 8406 TEST EL.BL 
am4BiscH ||:« r4 Ge 
gadeisce ||. asFE ADO EDI, EBX 
Bo4G1SCE ||. 46 INE ESI Crackme?. 00402194 
ma4eisCF ||.^ EB FS SHORT Crackmed. 80481306 
padeisoi [Lo ca 
Ba4BisDs [pá ZC zø SUB AL, 20 
am4BisD4 ||. S206 HOW BYTE PTR DS:CES11,AL 
gadaispe |L. ca = 
Fidis Ane es 
4 : 
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Repetiremos el proceso hasta que Olly salga del loop para detenerse en el Breakpoint 
situado en 401245. Llegados a este punto sabemos que hemos pasado el primer “bad boy", asi 
que podemos parchearlo para no tener que preocuparnos más por el . 


Volvamos a la dirección del Breakpoint 40138B y cambiemos la instrucción JB por 
NOP de forma que no tengamos que saltar. 





=lē| xl 


[c] File View Debug Plugins Options 
544 X| |I Wë 


padgis54 |. Gë PUSH 















ai 























spei m 





Text = “Great work, matet a | Registers (FP) 








Ba4BisEs ||: FF7S oe PUSH hDuner = BBABBBEB Í' Crack z 
padole |. Eg Doagaana MessageBoxh E THE 

E 36 D GE “r Sr [s A “Hes SR 1 
pa4Bisés [pá 6A op PUSH o [BeepTyne = MBLOK ee id de 
andb1364 ||. ES npaaasaaa CALL <JNP.&USERS2. NessageBeen > MessageBeep EGP BBISFEBA 
oouë1zeg ||: ep PUSH 29 ra ! : 





Assemble at 0040138B i les 


Bg481356E PUSH 





























Ba4Bi2rva ||. 68 PLISH 
Ba4Biav5 |. FF75 B8 PUSH 
aa4+a137a ||. ES BDaaaaaa [NOR -| 01245 
padeis7o |L. cs — 
BE4G1S7E [pá BBr424 84 MOL ESI, DWORD PTR SS:[ESP441 BEEE: 
Badaises || * Zoe POW AL BYTE PTR DS: [ESI] Biss. 
Bag4a1382 i : T 
66481385 8400 TEST AL, AL Iv Fill with NOP's | Assemble | Ea | FFFF1 
am4missr ||... 74 13 JE SHORT Crackme3. 00481390 Bai FFF) 
00401229 ac dl CHP AL, 41 
—————MÓÀ —— 0 B LastErr ERRÜR SUCCESS (B4B08808) 
Ba4giassF || v| 73 63 JHE EFL 80909297 (NO, B, ME, BE, S, PE, L, LEI 
a ER MUE Ee ERE BEE STE empty -777 FFFF @G@FFGGFF BOFFOBFF 
GE | EN IS ccr. STi empty -??? FFFF BBFFBBEF BBFFBBEF 
SS ST2 empty -??? FFFF BüBaaBD3 BOCFABC? 
a ls SE, Hen Cracknme3, 08482187 ST3 empty -??? FFFF BOBBBBDS BacFaecr 
66401398 || ^ EB Ee Jr ST4 empty -??? FFFF G@D4Decs BOD4DOCa 
Hehi EC |e | Es CFE Lens STS empty -??* FFFF 66606604 mansaars 
Era ced EN scis usc E CALL STé empty -??? FFFF BGBmaBmB oo00o00 
SEO, Se SIFr res60008 — DR EDT, S675 ST? empty -??? FFFF 00800059 masaansa 
85461308 |. | SBC? HOW EAX, EDI Ape Traci em 
44441 200 ww = = = uer T = 
2AA FST BB8B Cond B GGG Err ÖÖÖÖ E 
pa4alanc || > Sse POP ESI Crackme3, 0040218E ace E Se 
ooao120p |. 6A se PUSH SĀ sa. a Sen feee O 
Be4eisnr |. 68 66214000 PUSH Title = "Ho luck?” 
64461384 . 68 5692140466 PUSH Text = "Ho luck there, ma 
Ba4BisB9 |. FFE B8 PUSH huner = BEB4BBBEG ("Crack 
Be4BlaBC ||. Es reaaaece CALL MessageBonA 
Ba4Bisci |L* C3 
Ba4Blac2 [ps S33FF “OR EDI,EDI 
padeiscd ||. 3308 MOR EBX, EBX 
Ba4alace ||» SAE HOU BL,BVTE PTR DS:LESIJ 
ma4eisce ||. 8408 TEST BL,BL 
aa4B13CA ||.» 74 05 JE 
Ba4BisCC ||. eSFB ADO EDI, EBX = 
AAA ACE . dë TH: FST Crack mea. nmdpm 127 


4 : A 
Jump is taken 
madaisHc-Ccrackmes3.tmada13snhc 


Hacemos clic en “Assemble” y en “Cancel”. 
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OllyDbg - Crackme3.EXE - [CPU - main thread, module Crackme3] 





[e] Fie View Debug Plugins Options 
Led dq] X 






Dal 24 
64441359 
b6441 35 
HE461561 
64441362 
46401364 
44461369 
BE461566 
Dal 2cH 
agdni3rb 
EE 








Ba4813nn 
Dal SAC 
44441 201 
Dal SAF 
DAT) 24 
44441369 
64441360 
b644813C1 
Dal 212 
Dal 214 
64441306 
BH4615SC5 
nagil SCA 
14441305: 


Ec 


A continuación hacemos clic con el botón derecho y seleccionamos 
executable" -> “All modifications" 








GI 
FE na 
ES D9mmaana 


D 
ES Hopp 
30 


EF di H3 

ES Popp 
C3 

oer H4 


EF 
ES s9mmaana 
EB E? 


ZER 
SIFr GG 
OPL d 


EE 15 


LL 











BreakPoint- > 


Window Help Tools 


duu 4 > 





6 


PLISH 
PLISH 














MessageBox 


BeepTupe = HB OK 
HessageBeep 


hOwnier = DRADHEIER 


a = "Ho luck? 
NessageBoxA 


5 Crackmes,. 4442187 
MOL AL, BYTE PTA 05: [1ES1] 
TEST AL, AL 


E 
NOP 





CHF AL, 41 


HOP 
CHP DL, Ep 
JME SHORT Crackmes. 00401394 


INC ESI Crackmes. 64442137 









INC ESI 


JHP SHORT Crackmes. 86461383 
POF ESI 
CALL 


HOR EDI, 5678 
MOL EAX, EDI 
JHF 


FOP ESI 


Crackmes, 4442187 
Crackmes,. #421 SE 







Crackmes,. pö4öz1i SE 


MessageBox 





AUR EDI,EDI 
MOR EBs. EBA 
E BL, BYTE PTR OS: CEST] 


TEST BL,BL 
Ann EDIT. FRY 








Text = “Great work, 
hOwner = DRAHRDER ("Crack 


matet oa 


Style = MB_OK1MB_ ICUMERCL 


Text = "Ho luck there, ma 


('Crack 


Text = "Ho Luck there, ma 


SRI = HB ükKiHB. ICOMERCL 
Title = "Ho luck' 
h One: = BDAODEED ["Ecack 


“Copy to 


. Esto abrirá una nueva ventana en la memoria. Hacemos clic 


con el botón derecho, seleccionamos “Save file” y lo guardamos como crackme3 prachel.exe. 
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OllyDbg- Crackme3.EXE 












File Ven Bar pagina MOON PAG Hee Hage SE ic 


CPU- main thread, module Crackmes [erene i 


[88381353 . É 34214688 PUSH 


BB4B1259 FF7E BB ta | BU rem | (E) R4ndomtutorial8 = e] fem mm 
ES Do6ooooo | CARG. Guardar en: | (9 Bändom tutorial 8 sl ée ŒE 


66441350 



















Gil 6a ma 

00481364 ES Gioooeng Olly Breakpoint Manager 0. 1 
60461 268 E2 60214000 — SEO 

BAA: Se COD 0074 Amar 






Documentos 
recientes 
TETTE "98 HOP => 
&anmaaassc S d HOP ` e pm E d 

EMP AL, E 1 





Dog) SC En 

BaBBOBSSF v. T3 63 JNE SHORT BBaBass4 

oooozail 46 INC ESI EE 
Gopopozacls EB EF JE SHORT meaeesss SN 
00608994| ES 39000060 | CALL opoooatz 

gopoozacl 46 INC ESI , 
GDëoeozepl- EB E7 JHP SHORT Gpopoaez 

BaGBeSIC| SE POP ESI . 


BEGEESSO) ES 26060060 CALL Baanasc2 ae 
mpamamg2H2| B1Fr Te56B668 | xOR EDI, Ers mania 


Baanaens| SBC? HOU EAM, EDI 

BBBaageng|- EB 15 JMP SHORT BaBBGBSO 

BAGBASAC| SE POP ESI 

BBBaagonn| 6A ap PUSH 38 d 
BBaagcnr| 68 60214006 PUSH 402160 E 
BBBBBOB4| 68 69214006 PUSH 402169 a 
Dpnppapal FFE as PUSH DWORD PTR $S:CEBP+S] em 
oan) ES F9BBBBBA |CALL seagense Mi PE 






Ba4e138c 
Bede 1 SAD 
Bode 1 SAF 
aa4eiag4 ||. 
aaantspo |]. 
4 


LA 
L 3 


Mis sillas de red Nombre: [Erackmed_parchet.ene ` | 
‘Tipo: [Executable file [exe] sl 





Antes de reiniciar la nueva versión parcheada de la aplicación, tenemos que tener en 
cuenta que todos los parches, comentarios y Breakpoints van a ser borrados, ya que toda esta 
información está almacenada en el archivo UDD de Crackme3.udd. Al ejecutar 


Crackme3_parchel.exe por primera vez, este todavía no va a tener un archivo UDD asociado a 
él. 


Para solucionar este problema podemos descargarnos el plugin Breakpoint manager. 
Una vez instalado, abrimos la ventana de los Breakpoints pulsando “B” y con el botón derecho 
seleccionamos “Breakpoint manager” - > “Export Breakpoints”: 


OllyDbg - Crackme3.EXE 





File View Debug Plugins Options Window Help Tools BreakPoint-> 
Game] 44 X| om] wäit RIS a 
CPU - main thread, module Crackme3 N y - [Bl] xj 





ai 

















66461354 . 68 24214664 Text = "Great work, matetsrHo a f Registers (FPO) 
Ba4daias59 |. FFr5 62 hÜwner = BB4BBBEB L'Crackhe v CV BBBBbd2H 
a6441355 ES Dama He22aaeBnasH Pew oo aco 
Breakpoints DU Ixl 











Address | Module Act ive Disassembly 











Comment 
Ese Crack mes) Always 


CALL Erackmes, 66401362 
66441240) Crackme3| Always 


CALL Crackmes. 66441340 


664481388) Crackmes| Always HOF 
Remove Del 
Disable Space 
Edit condition 


Follow in Disassembler Enter 


Disable all 


--=Delete all <-- 





Breakpoint Manager Import breakpoints 
Export Breakpoinks 
Copy to clipboard kg 


Appearance 
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Guardamos el archivo y cargamos la nueva aplicación Crackme3_parchel.exe en Olly: 










OllyDbg - Crackme3_parchel.exe I x: |= | x] 


File View Debi Window Help Tools BreakPoint-> 


el dd Ke) KI | s] v IS] a 


CPU - main thread, module Crackme3 e [nmi xj 


5/75 1 da 6A Be PUSH El pliodule = HULL af Registers [FEU 


&amdmiaads ||. ES FFa4maaa CALL Get Modu leHandleA  paamnpan 
endeiaer ||. FE cpzasana HOW DWORD PTR DS:L4B26CHl, EAX KEE | OGL SEFEG 
AG ; E itle = i ; m m 
BE46106E ||. 68 EF9204006 PUSH DEZ = "Ho need to disasm the i ee ntdll.KitFastSustenta 
mae4eieis |. ES Readmean FindblindowA E 
padala ||. OR EAS, EAX GI SEEÉS 


aaaeiain ||. nese 


Ba4e1alc ||. .FFFFFI —— 
66481010 HOU DWORD PTR OS: [402064], 4003 rC328r88 ntdll.rC3e28r28 


auqa1ozo ||. sacogeno 26] MDU DWORD PTR DS: [4820667,0 00421808 Crackmes. <Modu LeEntr 

AIS ^ H F 1 

padaiase ||. MOU DWORD PTR DS:L4B28781,6 ibo ec re REE 

Ba481845 Bi CEO HOU EAH, DWORD PTR OS: [40260A] EE 

6040144A : Hou OWORO PTR DS: [462474], EAR A22 Sabit BÍFFFFFFFF) 

Ba48184F SE 

TATER 5 32bit vFFDFBBBLFFF) 
E . : r z 

aa4etesc ||: BerFaaaa PUSH vFüBB LastErr ERROR eet ane 

aa4atmel ||: Bg PUSH B “NULL BBBBBP46 (NO,NB,E, BE, NS, PE, GE 

aan4518863 ||. Hes ZHP, &USERZ2.LoadCursorhH EE a 

ssásimes || : m8 7C264000 HOU DWORD PTR DS: [402070], EAX See EE 

aa4etaen || - MOU DWORD PTR DS:L4B28861,5 T 

easier? || - MOU DWORD PTR Ds: 4828841; ASCII "MENU" Uu tes 

aa48tea1 ||: 4| MOU DWORD PTR Ds: [402088], ASCII "Ho need to disasm the c Jot; cpet» 56 

oa oe || - 64204208 PUSH [pllndGlass = Cracknes. 06402064 ata 


= 7 empty 
60461030 RegisterClassA STÉ empty 1. DDDEGGDDEEO DD DE 


go4a1095 |: 6A BB E [Param = NULL 
pager ||! DWORD PTR DS: [4826CA] hInst = NULL o laa er 


32 P 
6o4B1030 ||: a hMenu = NULL 
Ba4B1B3F B E hParent = NULL o EL MEAR.5S Bäi 1 


6048161 DD 30606 Height = S608 (32768, ) 

BE481GH6 ||. BESHRERe 2066 Width = S888 (327168, 1 

6044816AE GE GE Y = BE (118.) 

BE4681GA0 ||. DAD apa & = B4 (186,1 

He4+6 1662 DOE aad acr aaa Style = WS_OWERLAPPED i WS_MINIL™ 


4 H | 


Crackmes. i Mody LeEnt ruPaint > 









ai 


im? 








Address | ASCII a1 SEFC 
WBH4B2HHBH|HBB pa pa pa pa pa oa 00 oo pa SO DO a B61 SFFCS E 
CR A 2 DE E EIE] EIE] EIE] EE EIE! EIE) HEI HEI: EIE] EIE] EIE! lee AB1SFFCC 
BE4G2010| BB GO Ga 08/60 es BB GO GB 60 60 colon Go B BÀ EN qood ER || 

Ba4BPB2»H BB BB BB palpa BB BB BB BB BB BB ol on BB BB oe) Ir" c pude 
Hadasa 69 me 66 66/60 BB 06 660/66 GB BD Ge D be Ha B EELER sel Goizattpnog Is 


Command -| 
| Analysing Lrackme3: 8 heuristical procedures, 2? calls to known functions | 


Abrimos la ventana de los Breakpoints (B), hacemos clic con el botón derecho y 
seleccionamos “Breakpoint Manager" -> “Import Breakpoints" 


BER 


Address | Modu le Act ive Disassembly Comment 


-->Delete all <-- | 


Breakpoint Manager y Import Breakpoints 


Export Breakpoints 






Appearance 





E 


De esta forma importamos todos los Breakpoints a nuestra nueva aplicación 
Crackme3_parche1.exe: 
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OllyDbg - Crackme3_parchel.exe 









Window Help Tools BreakPoint-> 
eje HU a) 5 


File View Debug Plugins Options 
[| dd x) E 


CPU - main thread, module Crackme3 IX - [m] x] 
6H qa produ le = MULL af Registers (FPU) 


E 
. ES FFH4Bana Get Hody LeHandleH 
| AS CHa2B4BuBd ER EE 


mn 






















































CALL 
00401007 MOU DWORD PTR OS: [48:26CA]. ER 


Breakpoints 


Address | Modu le Act ive 
BHA461245) Crackmes| Always 
66461240] Crackmes| Always 
66448135B/ Crackmes| Always 


Comment 





Disassembly 
CALL Crackmes, 86461362 
CALL Crackmes, 664681340 





Vamos a eliminar el Breakpoint que estaba situado dentro del loop, puesto que ya no hace falta: 


BER 


Address | Module Act ive Disassembly Comment A 
6441245) Crackmes| Always CALL Crackmes, 664613562 

HA4h124C) Crackmes| Always CALL Crackmes, 66481340 

HA4H1556) Crackmes| Always HOF 


Remove Del 


Disable Space 
Edit condition 
Follow in Disassembler Enter 


Disable all 

--»Delete all <-- 

Breakpoint Manager + 
Copy to clipboard k 


Appearance 


Y ponemos un Breakpoint en la instrucción JE (401243), situada delante de las dos 
funciones que llaman al “bad boy" y al “good boy" respectivamente. 










CPU - main thread, module Crackme3 
























4441207 .^ ER OO E 
4441209 » GH aH lParam = NULL 
. Di DlaFProc = Crackmes, Bal 22 
. FFYE D hOwner = 46461006 
. DÉI plemplate = "DLG_REGIS" 
. FFSS CA2A4aada hInst = NULL 
ES FORZRRAE DialogBoxrFaramA [| 
S3FS uma 
= .^ v4 BE 
nn4nis2s , 6S SE2l4BBnn 
66444122 D ES 420146666 
6444123 CE EA 









BB4B1233 68 FE214000 fe ee ee 
A401238 ES 960166606 
B64B6123D 8304 m4 HDD ESF, d 
Baia 58 POP EAH kernels32.7C816D4F 
ae4e1241 3BC3 CHF EAX, EBS 
werd BP 
. | ES 128016600 
Badaisdnd | al ER op 
> LES FCOBBBBA 
ab4B1251 | .^ EB 93 
B6d4B1253 lt, Ce aamaaaa ENTER & 
Badaissry ||. 53 PUSH EBRO 
Ba4aissa |. Ge PUSH ESI 


DAT ZG, 57 

2321/2001, 5170 BC 1686010666 
DAT 261 r4 34 

agdnmiszes ||. 21D BC 11010666 
DAT eA r4 35 

DAT 261, 2370 BC 18 

Dap) ZcH Bars4 21000060 
BA4hlere ||. 21D BC aimsamnaa 
He46127°0 r4 BC 


PUSH EDI ntdll.7C9287?38 
DADL Ze . ES GGooonne 
Dal 2024 ||? SF 


CHF 114 
JE 
CHF 111 
JE 
CHF 
dE 
dE. 
AR = kernel3z.rcSl1e6D4F 
44441285 » DE kernelS2, rcs1604F uw 
3| | > 


Reiniciamos la aplicación, pulsamos F9 e introducimos el nombre y el serial. Olly se 
detiene en el Breakpoint que acabamos de poner (401243). 


X 


X 


X 


X 
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CPU - main thread, module Crackme3 


DA) 217 PUSH OWORO PTR OS: C4626CA) 
46848121 


















hInst = DBDDDDp 
OialogBboxP arama 





FF25 Lean 
ES rDa2ama 
S9FS BB 


ASCII "NANUELI23" 









4448122 
DA) 252 
DA) 227 
DA) 222 
48481230 


ES 40010004 
5a m] 
ASCII "123456789" 






6S rE214808 
ES 9B61ġġää 
Sold H4 






















DA) 248 5a Erackmes, 6444215E 
DAT 241 SBCs CHP EAs, EBs 
werd Be 
» | ES 15616888 
DAT 2401 .^| EB 3H 
¿+ SES FLCBBaaana 
DAT 21 4^ EB 93 
DRAI ZG |. CS 6000096 ENTER B,H 
DAT ZC, 53 PUSH EB 
BE461255 ||. 56 PUSH ESI Crackmes, 64442154 
BA4612659 |. Bb? PUSH EDI 
BE46125H |}. GI) BC 16618668) CHF 
6481261 a r4 34 
BA4hlees |p. 5170 mc 118185858 
BA461260 |] «e r4 35 
DA 261, 2370 BC 18 
22321 Zc f- 6F24 21060006 
BA4hler6 |p. GL mc mia2ssasa 
DA Ze ve r4 BC 
DA Ze , BS Don 
Hd) 224 ||» SF Crackmes, 6444213 
DAT ZE |. SE Crackmes,. 60440215E 
DAT 2061, SB Crackmes. BE46215E 
DA ZC, Co 





Dal 2221, Ce 1006 
BE461256 || > 6A Bl Erase 
BA461250 ||. GH B8B pRect 


RETA 1à 
TRUE 
HULL m 
al | i 


Si nos fijamos en el color de la flecha (gris), sabemos que el salto hacia la dirección 
40124C no va a ser tomado y que el siguiente movimiento será llamar la función CALL en 
401245, que saltará hacia nuestro “bad boy". Comprobemoslo: Pulsamos F8 una vez y después 
F7 para saltar dentro de la función CALL y nos situaremos en la primera línea del mensaje 
malo. Si a continuación presionamos F9, saldrá el *bad boy". 
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OllyDbg - Crackme3_parchel.exe 
File View Debug Plugins Options Window Help Tools BreakPoint-> 


54 sl oman] wëll ELE a E 


LPU - main Ehread, module Crackme3 


SELENA rz 6H UB PUSH E BeepTupe = HB OK = 













ai 












































444681364 ES Gopopnon CALL <JMP.&USERS2. MessageBeep > MessageBeep 

44461359 6A 3H PUSH 3H Style = HB üKiHB ICOHEXCLHBHHT : 
66461368 . ES 66214006 PLISH Title = "Ho luck*t" 

664441376 - DÉI Text = "Ho luck there, matet" 
HA481S75 = FE H8 hOwner = BRBDRI14C (C'CrackHe w: 
Dol , ES BÜDGDpDOp MessageBox 

HA481370 HT E 

Dpcdol2et S 8Br4e4 B4 Crackmes. 66462155 

Dol S82 55 ESI Crackmes3.magdmzisr m] 
Dol 2072 » BABE MOL AL,BYTE PTR DS: EESIJ 

AA481385 eadcm TEST AL,AL 

6401357 e r4 13 

66401359 SC 41 CHP AL, 41 

6401358 . JÖ HOP 

64681355 . JÖ HOF 

64681350 . ŽC BH CHF HL, ED 

Ba4aissF | w 73 03 JME 

HA4h1S91 . 46 IHC ESI Crackmes. 6644482157 


Badgis92| .^ EB EF 
amgdgizog4 | A ES 39000004 








Ba4niso2 | . 46 INC ESI Crackmes, 10482187 
Ba45129n | .^ EB E? JMF SHORT Crackmes, 86461323 
Ba4nisoc | > SE Crackmed. 00460124A 


POP ESI 
AA461S90 | . ES 20666660 CALL 





Dal ZAZ | . SIE ra5easana ADR EDI, 56rS 

BadgisHo | . DL MOLI EAR, EOI 

BE4R1SHH | .~ EB 15 

BadgisHC | . SE Crackmes. Dap) 241 
BH461SH0}] . 6A 28 


Style = HB OüKiHB ICOHEXCLBHHT : 
Title = "Ho luck*'" 

Text = "Ho luck there, matet" 
hOwner = mBaspmBidc 6('CrackHe «v: 
HezzaaeBasH 


BB4BISAF | . 625 6582140500 
agdd1i2B4| . 625 62214060 
BA461SB9 | . FF7S 88 
aamdmi3BC | . ES r980mmm 
BedBiSC1]| > C3 

Dal 22 P aaFF 





Dap) 2 a 2306 


E 
“OR EDI, EDI 
. AUR EBs, EBA m 
4 


Primera instruccion del “bad boy” 


Pulsamos F9: 
Noluck! A 
AN Mo luck there, mate! 


Veamos como solucionar esto: Reiniciamos la aplicación, pulsamos F9 e introducimos 
el usuario y el serial. Olly se detiene en nuestro primer Breakpoint (401243). 
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-|8] xl 


OllyDbg - Crackme3_parchel.exe 





File View Debug Plugins Options Window Help Tools BreakPoint-> 
eddi Ni ell] ee säi ld ali a 


ak 








































CPU - main thread, module Crackme3 ll x] 
abdblzzs | . sere BB CHF EAX, 6 = (FFU) 
ündBiz26 | .^ 74 BE JE - FAN GGG 
AGE 2 a A i fi tenet oye ~ 
AEE E PUSH EAS SCH e ntdll.KiFastSustemCa 





664412353 
SSES 
He461230 
66401246 
d64A1241 


ESP Bal3FER4 


PUSH Crackne3. BB40217E ASCII "123456799" 
CALL EEF @@1SFEB4 


HDD ESF, 4 = ^. : HD DCH 
r ESI 6462157 ECrackmes. 06442187 


CHF EAX, EB 
EIF mna481243 Crackmes. 660401243 












68 rE2ZI48n8 
ES 9BEBlaamns 
85904 m4 











4 Br 
1661 6868 
B SA 

















e CEN ES 0623 32bit @(FFFFFFFF) 
BBS ast E EE P 1 CS BB1B 22bit @(FFFFFFFF) 
TEREPE B 93 Rel SS 9823 Sebit BIFFFFFFFF) 
ct: Ce apaapa ENTER Bid TN eR n xou. 
Dt 1 “Er " - 3 E a a P KI 
gadei2ss ||. 56 Crackmed. 00482187 le e I 
00461253 |. Sr PUSH EDI 0 B LastErr ERROR SUCCESS (06066 


BE48125R ||. 8170 BC 16618888) CHP ae 
amndaisel vie r4 34 JE EFL mBamamzs? (HO,B,HE,6E,5,PE,L.L 


La flecha gris en el opcode nos indica que no vamos a saltar al *good boy", asi que 


ayudemos a Olly a efectuar el salto cambiando el valor de la bandera Z haciendo doble clic 
sobre el cero. 


OllyDbg - Crackme3_parchel.exe 












Tools EreakPoint-=> 


+] 















Window Help 


se bs 2 


File View Debug Plugins 
[ar] dd] X 





Options 
LLL 





ai 




















































CPU - main thread, module Crackme3 Pie xj 
Dp4p1 2221, SSFe un CMP EAX, 8 EUREN (FFL 
Be4ei226 | .^ r4 BE JE = GREEN 
gedaie2e | . 68 SE214000 PUSH ASCII "HBMUEL123" ECH BaiSFDEB 
ae4Bisen | . ES 4C818880 CRLL ED rC91EB94 ntdll.KiFastSustemCa 
pam1z232 . 55 FUSH EAR EES Br5BDFZ1 
an4aniz23 68 TE214000 PUSH SE ASCII "123456789" ESP BBal3FEB4 
ab6461238 ES 92010000 CALL EEF oo) 2EEBA 






Dap) 22 2304 B4 ADO ESP, 4+ 


ESI S6482197 Crackmes. 66482157 

























ERETT : POP EAX Crackme3. B048218E 
BB4Bi241 CMP En, EEX iS 
R24 BT EIP 00401243 CrackmeS, 00401243 
ES 18010060 
C 1 ES BB23 22bit BLFFFFFFFF) 
: e 
EEN ER ES P 1 CS 0018 S2bit BIFFFFFFFF) 
BRETAR sr Bi Ss 0023 32bit BLFFFFFFFF] 
opener = ENTER o B —le- Lé 1) 0S 0023 s2bit BCFFFFFFFF) 
253 gen , y FS 003B 32bit TFFDDBBBLFFF) 
madalsEy |: Es PUSH EBX E Goan Oe 
apgatasa ||: Se PUSH EST Crackme3. 00402187 dt 
d Ge 
oouä1zen ||: 8170 ec 10610000| CHP EE 
ga4a1z61 ||. r4 34 EFL BBBBB2D? (NO, B, E, BE, £, PE, L, LE 


G04012653 ||: 817D ec 11818000) CMP 
34812 S STA empty —??? FFFF BBFFBBFF AAFF 
Bg ces |a ps es ST1 empty -??? FFFF BBFFBBFF BBFF 


ma4aizéc ||. s270 ec 10 

aS GR : ST2 empty -??? FFFF BüBaBaD3 Barr 
gB4izrad [.- BPO 51066606 STS empty -??? FFFF BBBBBBD3 BCF 
dl) a ST4 empty -??? FFFF BBD4DHECS BüD4 
GE agit o STE empty -??? FFFF 60666604 BADE 
a E ST6 empty -??? FFFF BBBBBHBB BOBO 
Bede 284 $ 5 Crackme3.tmnmdmzisE ST? empty Tona FFFF maesaaasan AASA 
Hal z355 D GE Crackme3.tmmndmdzisE e 2321A ESE 
ES A i FST BBBB Cond B B B B Err B B B 
B4aizBy |. CS 
rc IE EE FCW @2?7F Prec NEAR,S3 Mask 1 
gedaizee || > 6A e Erase = TRUE 
gedaizen ||. ep ea pRect = NULL 
gedaizer ||. FF7E os hünd = BeBEBI4C ¢° CrackMe vi, To 
me4aliz92 ||. Es Geoieeng CALL Inval idateRect 
4 + m 
Jump iz take 


BO4B1s4C-brackme 206401240 


Comprobemoslo pulsando F8 una vez y después F7 para saltar dentro de la función 
CALL que nos debería llevar a la primera instrucción del “good boy” 
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OllyDbg - Crackme3_parchel.exe 


File View Debug Plugins 
ey 44| X 


Options Window Help Tools BreakPoint-> 
EH] €" eis] a 


CPU - main thread, module Crackme3 






















































TEE TE EREEETE 6A 38 FUSH 30 Style - ME_OKIMB_ICONEXCLANAT. a 
Baa4nis4F 628 29214008 Title = "Good work t 

46441354 GH 3232134004 Text = “Great work, matet-rho. 
Ba4n1352 FFrs GD hOwner = @GSER14C ('CrackMe wu: 
Ba4n135c ES Dopooooe MessageBoxA 

Ba4n01361 C3 

EISËIKE 6A mug PLISH Do (fesoTune = = HE DK 

aadal364 ES nnDmmaana CALL < JUMP. 2LUSERSZ. MessageBeep > CiessageBeen 

Ba4n1369 6A 38 FUSH 20 Style = MB_OKIMB_ ICOMEXCLAMAT: 
Ba4n136B 68 50214000 FUSH Title = "Ha Luck? 

aa4n1a78 68 69214008 PLISH Text = "Ho luck there, matet" 
Ba4n1a37t5 EE SE GD PLISH hOwner = @@SER14C ('CrackMe ul 
Baa4n1a78 ES BDaaaaaa ca MessageBoxA 

Baa4n137D C3 

a64a137E 2E7424 Ad MOL ESI. DWORD PTR SS: [ESP+4] Lrackme2.md4a8218E 

Baa4n13es2 56 PUSH ESI Crackme2.m88482187 

Ba4n1383 SABE HOU AL,EVYTE PTR DS:rESIJ 

66401385 e4cn TEST AL, AL 

Aa4e1 337 74 13 JE 

Ba4n13289 SC 41 CHP AL, 4i 

Ba4n138B op HOP 

Ba4n138c op HOP 

Ba4n138D 3c SA CHP AL, Cp 

A401 SSF 78 B2 JMB SHORT Crackme3.88481294 

Ba4012391 46 IHC ESI Crackmes. 68402127 

Ba4n1392 EE EF 

66401394 ES 39660066 

Ba4n1a22 46 IHC ESI Crackmes. 88402127 

Ba4n0139n EB EF JHP SHORT Crackmes. 68481383 

EEEIEE EE POP ESI CrackmesS. 66401251 

60401390 ES 200000906 CALL 

aa4a13A2 s1Fr rS856naaa “OR EDbl,5678 

aa4n13ns SECY HOU EAS, EDI 

Ae4e13040 EB 15 MP 

Baa4no13nc EE POP ESI Crackme2.88481251 

aa4ao13nD 6A 38 FUSH 34 Style = MB DKiHB ICONEXCLRMRT; = 
Ba4no13BF 68 66214808 PUSH Crackmes. #6402168 Title = "Ha Luck? 


4 





d 


Primera instrucción del mensaje bueno 


Si pulsamos F8 unas cuantas veces y nos fijamos en la pila podemos observar como los 
argumentos de MessageBoxA son empujados en la pila. Tanpronto pasemos la llamada a la 
función en 40135C, debería aparecer nuestro “good boy". 
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OllyDbg - Crackme3_parchel.exe 





File View Debug Plugins Options Window Help Tools BreakPoint-> 
Running edd) m IH bat Be) De) se] BH 


CPU - main thread, module Crackme3 N E .[Bl x 


6684481340 pig PME. DK 1ME_ ICOMERCLAMAT LON | MB_APFLMODAL 


HAD S47 Title "Good work t" 
6S 24214880 
baier A CrackMe ¥1.0 
cs 


660401354 Teut "rest work, matef*-rhHow tru the nest CrackMet™ 
t «60 op File Help 


06461359 
ES Hogg 
GH 38 









































Dal ZE 
pb64b61361 
Dale 
pb64b1364 
p64b1369 
















DK MB TCONESCLANAT TOM: ME_APPLMODAL 













He461566 GD 66214000 Luck +" 

Edi 68 69214000 luck there, matet" 

6644175 FFFS D SEHl4C ('CrackHe 1.6",clas=="HNo need to disasm the 
Bhdalsra EG Bop 

Hga4pl2 eh C3 
























c64alSrE 
c64a13s2 
664681383 
6064681385 
madmlzsr 
Hpdpl 2902 
6064681356 
664681380 
64681380 
c64a13SF 
664681391 
6641392 
66401394 
66441399 
66441398 
66441390 
66441390 
SE 


5 sBrded 04 
EE 




















HOP 
CHP AL, 5A 
JNE SHORT Crackme?, 00461394 


INC ESI 





Crackmes, p421 87 









EF 
> ES Zoo 
TEB Er 


SE EE 
B1F? 73560600 








IHC ESI 


JHP SHORT Crackme3. 00401383 
POP ESI 


penes 


Crackmes, 66442137 
Crackmes, 664421387 





































BRSERL4C hOwner = BRESERBI4C ('DCrackhHe vi." ,class="Ho need to disasm the codef"1 






Address 








—— HA1SFE94 64462134 Text = “Great work, matet =rhow tru the next CrackHe*'"" 
Goorn work! HEISFESS pad 12 Title = "Good work t" 
ee riga Style = HB ÜUk:HBE ICONHERCLHPHRT ION! NB_APPLNOOAL 


668441251 RETURN to Crackme3.nB4B1251 from Erackmes, 664481340 
BE48215E ASCII "MANLIEL 1235" 
BEBEEEEE 





13FEB4 





Great work, mate! 
Now try Ehe next CrackMe! 












maisFFic 
i He461125 RETURN to Crackmes.WndProc from <JHP.&KERNELS2. Ex itProcess > 
AG SFEBS HaiSFEER 
a Gi SFEBS Froléeres RETURH to USERS2.7rOleres 
BGiSFEEC || aoseei4e 
HEISFECH EE 111 — 
SES Ee . 


Command -| 


Finalmente parcheamos y guardamos la aplicación en el disco duro. 


Para parchear la aplicación primero eliminamos los Breakpoints en las instrucciones 
CALL y luego cambiamos la instrucción JE por JMP (que salte siempre). 


EH] hinst = MULL 
Assemble at 00401243 X] DialogBozParamA 








[v^ Fill with NOP"s Cancel | 


d ar 
13616888 
aH 

WWEISISISISIS 

33 


kernelsz.rCcS186D4F 





bede1245 
Dal 24A 
DAT 241 
Dap) 21 


Hacemos clic en “Assemble” y “Cancel”. Sacamos el Breakpoint y seleccionamos todo. 


http://masteracsi.ual.es/ 








OllyDbg - Crackme3_parchel.exe - [CPU - main thread, module Crackme3] 
[e] Fie View Debug Plugins Options Window Help Tools BreakPoint- = 


ix 44 X| m Hj bat || | S 






























Wo - CrackmeS. 004012 
FI We REGIS" 









HAD) 200 > BH HB PUSH & IFaram = NULL 
HAD) ZE . DÉI 
444401215 . FEE D hOwner = 46401004 
Hniddg1213 . 68 — dm e PP 
HAD) 21 , FF35 HAD 
Hp) 21IE . Es riz 
CER S. 
an l Vë 
o 361226 i és SEL Copy selection to executable file” 
Hd) 22 . BB i 
aad4aizes | . 68 7E214000 Copy all _ Skip | _Cancel | 
4441238 . Es 3JBAl Bebe 
46461230 . 53504 B4 
Be4+61248 . 55 kernel32.rCS816D4F 
44441241 . 3BC=3 CMP EAS, EBA 
Ab461245 v- EB Dé JHF SHORT Crackmes, 664061240 
461245 . |ES8 125010004 
HAD) 20 .7^| EB SA 
44441246 + SES ECH 








Dap) 21 SE 


[ 








Olly Breakpoint Manager “0, 1 


$e Crackme3 
Documentos Crackmes parchel 


recientes 


E scritaria 


Mis documentos 
wy 
ou 
Mi PE 


es 
ZI Nombre:  [Bexmebpade2ed || 


¥ 





Tipo: Executable file (* exe] 


Cerramos Olly y ejecutamos la aplicación. 


Tareas de archivo y carpeta A Crackme3 


ca Crear nueva carpeta 


Ed Publicar esta carpeta en Web 
Ki Compartir esta carpeta 


Crackme3_parchel 
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breakpoints, obp 
Archivo OBP 
1 KE 


Crackme3_parchez 


Guardar 


Cancelar 





manuell 23 | 


Good work! 


123456789] 
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7.6 Caso practico 6: Intermodular Call 


Abrimos Olly y cargamos Crackme6.exe. Pulsamos F9 para averiguar lo que nos sale. 











OllyDbg - Crackmeb.exe - [&] x| 
File View Debug Plugins Options Window Help Tools BreakPoint-> 
Running ` (Em A] | Pe) HE] BE) LE) all ai =|" 9 





CPU - main thread, module Crackmeb l -Ioj x| 


ence D Të GE 
Brod le = 
aa4eieer ||. ZE DEG CALL Get Hodu LeHand LeH EE A d 
aedeaieac ||. "C3848088 MOLI DWORD PTR DS:L4B8287C1,.ERX comet 132. 77420E90 Eet 
am4aimnii ||. aa PUSH Bl lParam = NULL Baaaanaa 
am4gi1mnia ||. 201045660 DloPreoc = Crackmeé. 68461820 Gë) SEO 
amn4aimia ||. aa hOwner = NULL BaisFiss 
ae4eaieia ||. a plemplate = 1 eaa 
am4aimic ||. FSS rvcasedaaa PUSH DWORD PTR OS: [4023670] hinst = BB4aBaaS EE 
abdaibzz |. Es 196506860 CALL DialogBozFaramH i 
am4aimzz? ||. Ce PUSH EON ExitCode = 7742CE90 FCSIEBS4 ntdll.KiFastSustemCa 
aedaiezs |U. ES grasa CALL Ex itProcess AB23 32bit GtFFFFFFFF) 


BB4BIBED | . AAIE S2bit BLFFFFFFFF) 


BB4BIBPE | .  BBEC 
BG23 S2bit BLFFFFFFFF] 
00481030 S170 60 16018006) CHP Sobit BLEFFFFFFE) 


Be4gigB27 | (+ GPSS CaBBBBBB | UNE 

a644183D 68 230304000 e SES "FFDFaBBtFFF) 
andalas | i ES 22080000 

as4BiB4n | . 6A 14 14 Encrypted password eg cR EM E Ee Mine 
Bg4g184C FF25 70304006 DWORD P Baaaa22956 (NO, ME,MNE,A,S,PE,L,L 


añdaiB52 | | ES 87850004 ree ee 
accord.) Your input please. empty D, 69453515 756934576468e 
an4aigsr 5a ERR E DE A empty +UNORM B&54 GBBOBAGO FB 


ab4alesa | . 6n Be B 
empty -UNORM FFEB aam op 

cT M FOE FN Non. EP ici 
S empt wu ` g= 

BE4G1Gel | . EES 83 EH empty —-UNORM COSA rvFFüFBaE op 


palne | . ES Breage empty -1, 3884168991 2369462806 


oo4B1B69 | . 6A 15 15 RercHame = 21. 
BmámipéB | 1 EES 7C304000 DWORD PTR DS:I48387C] [rinse = BB4BBBBB SE AL VC ED 


poánimri| l ES Eoodgoeg CRLL LoadB ¡tmapA 
OB4B1B76 | . 5B EB [Param = 2742C0E98 UMEN du 
üo4BiBrr | . 6A BB PUSH G wParam = B 

Boánimya | | 68 Erpepeen BF? Message = BM_SETIMAGE 

Gounot). 6H 69 63 ControllD = 69 (105.) 

po4giasa | . FF75 BB hünd = 77018709 

BE461853 | . ES ESB4aBBO CALL SendO0 Lgl temMessageA 


4 A 


Bmmadmnibsas-s.mWP.&eomct 132. In it CommontCoant rols> 
Crackmes. (Mody leEntruPoint > 





ASCII BBISFFE4 | a | 
60402009] 4E 4C 4C 4h) SC EC 2F 46/40 41 46 4H 4B 2E 08 4E| |NLLJ« V" EJBE-K. M a ee 
Ga4g28180 4C 4C 4H SC|5C 2F 49 5D|4E 41 5B 4H|4B 2E GB 4D| | LLJNS/HINALJK. .M deca if 
004a3020|7D TH 7B 6H|69 60 7D &C|66 61 68 30|2F 4D &E ep  |JeCii'JltahB/Hnk ee aay 
ERR <P ro 6E fo) ce Hd 41 62 oF r5 r4 00/54 44 42 CH “ents Four, TOD Fi aaiseens Is 


Command a | 
| Module CAWINDOW'S \sustem32\bokhe. dll | 


Introducimos una contraseña y pulsamos “Check”. 


dë Hl 


Encrypted p ASSIMO € edm al [ mq 


| Passzwards 1212121212 


Encrypted)! Ea Sa E Fac lere] [6 


| Passions) ACCESS DENIED! 





El primer paso sera buscar cadenas de texto: 


http://masteracsi.ual.es/ 


Text strings referenced in Crackmeb:.bext | - [m] xj 
h. 


Address | Disassembly Text string 





4484616466) CALL <JMP.&comet L32. InitCommonCon (Initial CPU selection) 
a684615830/) PUSH Crackmed, 10434830 ASCII "TOC [+4]” 

a6a4B611F7]| PUSH Crackmes6, 0463044 ASCII "ALL “EK JAF UE D 
64461243) PUSH Crackmese.tidmamar ASCII "HLL.4HIBHBEGE.'" 
Hal 220 PUSH Crackmesd,. BRAZ) ASCII "Hietjiji"J3lLFahmHnk-z^snu." 
Dal 22e PUSH Crackmeg, DRAg2D1E ASCII "HMietiji"JL£ahBmHMnkz^snu." 
444612439) PUSH Crackmes,. BE48381F ASCII "HMiyetjiji"JL£FahBzHnk-z^snu." 
HEA46126E) PUSH Crackmee.tiudmaman ASCII "Hack JAP UE D 
6461282) PUSH Crackmes, 10403044 ASCII "ALLE JAP UE D 

Hal 2011 PUSH Crackmeg, BRAZ ASCII "HLL.--HIBHBLEGE."'" 
64461206) PUSH Crackmeg, 4463660 ASCII "HLL. ++ EJAF JE," 
468461202) PUSH Crackmesd,. 164635844 ASCII "HLL. +++ KAR UK P 

Dal DE| PUSH Crackmes.tidma3mar ASCII "HHLL.P---HIBHBLEE. D 
a6a4B131E/| PUSH Crackmes, 10403045 ASCII "About" 


aj lA 


¡Parece que el autor de la aplicación ha cifrado las cadenas de texto! 


La mayoría de las aplicaciones de Windows utilizan un conjunto estándar de API’s para 
realizar acciones específicas. Por ejemplo, MessageBoxA se llama para mostrar un simple 
mensaje, TerminateProcess se llama cuando la aplicación desea terminar... La mayoría de las 
aplicaciones utilizan las mismas APP's, lo que revierte en nuestro beneficio. Por ejemplo, hay 
API’s para obtener el texto de un cuadro de diálogo (como un nombre de usuario y número de 
serie). Hay API’s para configurar temporizadores (esperar 10 segundos antes de pulsar 
continuar). Hay funciones que comparan cadenas. Por ejemplo, ¿La contraseña introducida es 
la misma que la almacenada en el programa? Y hay APP's que leen y escriben en los registros 
(para almacenar y recuperar las credenciales). 


Olly tiene una herramienta para buscar estos APP's. Haciendo clic con el botón derecho 
en la ventana de desensamblado, seleccionamos “Search for” -> “All Intermodular calls”. 





OllyDbg - Crackmeb.exe = =e) xj 


File view deed Ge en Window Help. Tools GE > 





CPU - main thread, modi module crac SS Crackmen J = [Of xj 


a Pein tCammanCort rock =. ist ere [. FPL! 


PUSH Minnie cea phMadule = NULL | 
CALL BS EEEE, 






















































Hort ES 2zEBBünmd OU GetHodu Leland len “ BaiaFFEBn 
EECH  S Bee DU. DWORD PTR DS:L4B3BvCI,EHM > à Bg ED TPBIEBS4 ntdll.KiFastSustemCa 
515] A I S L aram = T ed E Ui kai Go’ er aT 
seanieiS ||: 68 ¿0104000 PUSH IE niaPene = Prackmeñ. ARAATA? STEE 
BB4H181S ||. 6A ma PLISH T ; SE 
an4alBlh ¿A ni TEE z Name (abel) in current module Ctrl-+h ERE Ludi. 
PLE cria E ac E : : 21 FEFEFFF 
a | Seer cece SE p , Namein all modules EDI 70920738 ntdll.TC928788 
pe] E op ATO S RICE M 
Bagdad; » BB EIF BB48158BB8 Crackmes. (Nady leEntr 
Cie, ES BHTBSBE Binary k ` Command Ctrl+F Cp ES BB23 32bit OLFFFFFFFF) 
Ee) 2 eee D ; xdi x Pi CS BB 32bit BLFFFFFFFF] 
EE eee ed Assemble Space Sequence of comman Ctrl+5 gg ss Bas Bebit BLFFFFEFFF) 
z | s É | BASS 32bit GCF EFE 
as4mie2y | .- DESE CaB8E Label i Constant 3 : E VERE c UN das pius 1 
00491630 68 SC3B4E :2 Fo WE WP ENEE 
Ee : Pere ES Comment j Binary string Ctrl+B i : de 009 MALA 
oa] 3 i —<<= Fe eS 06 LastErr ERROR MO IMPERSONRTI 
abdalB4A | . 6A 14 Breakpoint k - astErr iE 
AG401B4C » FFS5 re Ser ` Ermoduis EFL Büpameg45 (HD, HE, E, BE. NS, PE, GE 
arike ` Ee arasak E Al commands STA empty -UNORM Pat Blüsaele4 BB 
padaiese | . gA BB Run trace E SE Pen 
00461054 | eg Eege D sequences ST3 empto GE 
EEE EE ` d ah =3 5 Ze 
GE a Soe as Follow Enter All constants ST4 empty A 
SCENE d Ax STE empty Hf 
docs]: Ene o e k ill switches STE empty 1.8888888B88B80BBBOBgüOg 
GBABIBEB " Fras Fear KS É STP empty 1.8888GBBBdBOBBBBBBO] 
Seel nd k Allreferenced text strings 252189 E sn 
richie genis z : FST 4626 Cond 1686 8&8 Err BB1 
aerate . ae em View call tree CrH-K SEET FC G27F Prec NEAR,SS Mask d 
dcn Lir . A AS ser-defined labe 
BBaBnlB?9 | . 68 FrBBBE es z 
Bea4dalBrE | . 6A 69 Search For User-defined comment 
aedaieesea | . FFPS op Se 
as4niscs | . ES Esedee Find references to Sendo lgitemMessageH éi 
4 VIEW 


DA) ED NF. &oomet L3; Copy to executable 


k 
k 
k 
k 
k 


Crackmeé. <Modu leEntruP Analysis 
Heu dump . Help on symbolic name Ctrl+F1 


dui EE 
fs 7] | 


E 
TEETE 4E 4C 4C 20 Ei 3 HL /EJBF IK .H Lë 
pias dp SC} Sr TUE D Ld HIHALUE a E 
Go483Os8 vB vB TB cB e Bes This! IE Sei i LES dE TE 
|esaaaede 2F 78 6E 76) 21) abate EE | vanu. About, TOC P 


E 


Comman 7 


| Program entry point ADDearance | 
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Hacemos clic en la columna “Destination” para ordenar las funciones de forma alfabética. 


Address | Disassembly Destination 
664011BE|CALL <JMP.&odise. CreateSol idBrush GOIS2. CreateSol idBrush 
HA461141) CALL <JHP.&adis2.CreateSolidBrush 560132, CreatesolidBru=h 
BHe461154) CALL <JMF.&odise. CreateSol idBrush GOIS2.CreateSol idBrush 
HE461150) CALL Z.JHPF.&adisz2.CreateSolidBrush GOIS2.CreateSol idBrush 
66441350| CALL JAF. &odise. CreateSol idBrush GOIS2. CreateSoal idBrush 
HA461396) CALL Z.JHPF.&adis2.CreateSolidBrush 560132, CreateSol idBrush 
mnadnmiaHa|CcHLL zdHP.&adis32.CreateSolidBrush G0132. CreateSoal idBrush 
HE461306) CALL Z.JHPF.&adis2.CreateSolidBrush GDIZZ2.CreateSolidBEruszh 
Ha4hibes| CALL £dHP.&user32.DialogBosFaramH use DialogBoxP arama 
664011E1| CALL z-HP.&users2.DialogBosParamH us DialogBoxP arama 
664412B9| CALL z.JdHP.&users2.Enablelindows | us Enablellindow 
He4612F5| CALL z-JHP.&users2.EndDialaoa37 uz EndQialog 
y: 
M 










664413487 | CALL E£JdHP.&users2.EndDialaoa? = EndDialaoa 
Hna4g1416|CmHLL z-JHP.&user22.EndDialaa7 US EndQialog 

He461625) CALL <JHP.&kerne lsc. Ex itProcess> | ke: 32. Ex itProcess 
BHa4618C9) CALL idHP.&Suser22.GetDlaltem? We GetOlgitenm 
Ha461264) CALL Z.JHPF.&users2.GetDlaltemTestHh userse. GetOlgitemTextaA 
6684416487 | CALL CRP, &kerne 132, betHodu leHang kerne 132. GetMody LeHand LeH 
Be4eieeGe) CALL <JMP. comet 132. InitCommonCon (Initial CPU selection! 


Hi 


66441652| CALL £dHP.&user32.LoadBitmapH- l ^ 
BHe461671) CALL CRP, &users2. LoadBitmapA> us 
664416894| CALL £dHP.&user32.LoadBitmapH-? US 

I 

l 

l 










3z.LnadBitmapH 
:z.LoadBEitmapH 
LoadBitmapH 
LoadBEitmapH 
LoadIconH 
ReleazeCapture 

Re leaseCapture 
Sendi loaltemMessageA 
Sendi laltemMessageA 
Sendi lal temMessageA 
SendDlaltemhessageH 
ZendlessageH 


HE461333) CALL z.JHPF.&users3z.LoadBitmapH? 
HE4616AF) CALL z.JHP.&user32.LoadIconH- 
HA4611A1) CALL z-JHP.&user22.ReleazeCapture 
66441S3EA| CALL z.JHP.&users2.Releasetcapture3us 
Hale) CALL CRP, Lusec3z. Sendi lagi temMess ws 
664416583| CALL Zz.HP.&users32.S5endDlaltemhHessusz 
Ha4616A2|) CALL z-JHP.&user22.-5endDlaltemhHezsus 
664601345| CALL CRP, user, Send0lgitemhess us 
HE4618BF|) CALL z-JHP.&user22.S5endHessageH* [us 
M 


Th mi mm mm mm m im m ITI IT) I T) I Soe 


HE4611B62) CALL Z.JHPF.&users2.SendhHessageH? : SendlHessagdeH 
664413FB[|CALL z.JHP.&user32.S5endHessaageH? | use SendlessaageH 
66441144) CALL <JHF.&odis2, SetBkCo lor? GOlSe. SetBkColor 
64481154| CALL zJHMP.&adis2.S5etBkCalor- GDISZz.S5etBkCaolor 
66441399) CALL ZzJdHP.&adisz.SetBkColor? GOlsSe. SetBkColor 
BHE4615CC) CALL zJHP.&adis2z.SetBkCalor- GOIS2. SetBkColor 
HA461157) CALL <JNP.&od ise, Set be Mode > GO se. Set Bk Node 
BHE461386) CALL <JNP.&od ise. Set bk Mode > GOSS. Set Bk Mode 


HE461120) CALL <JHP.&od ise. Set Text Color? GOS 
BE461173) CALL <JMNP.&od ide. Set Text Color > aDIsz.SetTeutColor 
BHE46137°C) CALL z.JHMP.&adiz2.S5etTestColor? GOI Se. Set Texto lor 
HE46136BF) CALL <JHP.&odise. Set Text Color > GOlSs2,. Set TextColor 
664016845| CALL i-JdHP.&user22.S5etlindawTestH3 use SethlindowTexthA 
HE4616EA) CALL CAP, $user. SetllindowTextAs u SethlindowlextA 
66441242| CALL “JUMP. &userse. SethlindowTextAs u SethlindowTexthA 
HAL Ze CALL CRP, $user. SetllindowTextAs u SethlindowlextA 
66441-50| CALL SMP. auser, SetllindowTentA M 2. SethlindowTexstA 


um — CU LU d IMN Duo wn Tat bli dew To BO Nun AO TASTE 


-Set Test olor 
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A continuación mostramos las 8 API’s más utilizados en ingeniería inversa: 


GetDlegItemTextA 
GetWindowTextA 

lstrempA 
GetPrivateProfileStringA 
GetPrivateProfileIntA 
RegQueryValueExA 
WritePrivateProfileStringA 
GetPrivateProfileIntA 


VVVVVVV WV 


No obstante siempre podemos contar con la ayuda de Olly accediendo a “Get help on 
symbolic name” 


Si nos fijamos en la lista de los calls que Olly nos muestra en el Crackme8, podemos 
observar que hay dos coincidencias con respecto a nuestra pequeña lista de 8 API's: GetDlgItem 
y GetDigItemTextA. 


La función básica de estas dos API's es recuperar todo aquello que se haya introducido 
en un cuadro de texto. En nuestro caso se trata de la contraseña. Lo que queremos hacer es 
decirle a Olly que se detenga en el momento que se cruza con estas dos API’s. La forma de 
hacerlo es seleccionando la línea que tiene el CALL que queremos, hacer clic con el botón 
derecho y seleccionar “Set breakpoint on every call to ”, escribiendo en el espacio libre el 
nombre de la API (En nuestro caso GetDlgltem y GetDlgltemTextA). 
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Address | Disassembly Dest inat Lon A 


66401146E| CALL z.JMP.€adisz.CreatesalidErush GUIZZ.CreateSalidBErush mm 
Bmn4g1141| CALL z.MP.&adi22.CreateSolidBrush GUIZS2.CreateSolidBrush 
668401154| CALL z.JMP.€adiz.CreateSalidErush 60132, CreateSol idBrush 
648448115A| CALL €JHP.&adis32z.CreatesSalidBrus CreateSol idBrush 
68448135D| CALL <JNP.&odisz.CreateSol idBrus CreateSol idBruch 
6644013968| CALL z.JMP.&adisz.CreatesalidErus CreateSol idbrush 
HadgliaH3| CALL ¢JHP.&odise.CreateSoal idBrus 2. CreasteSol tdBrush 
6644815306| CALL <JMP.&adis2.CreateSol idBrus 
6440814822| CALL CP, &userse. OialogBoxParame user 
64011E1| CALL ¢JHP.&users2.0ialogBoxuParame user 











6440812B9| CALL €JMPF.&usersz.Enablelindowu? | user EnablelWwindow 

Hal ZE CALL &«JHP.&user2z.EndDialaa3? yeerse.EndDisalog 

66401347 | CALL z.JMP.&userzz.EndDialoa- weers2.End0ialog 

6684081416| CALL £.JHP.&usersz.EndDialaa? yeerse.EndDislog 

6684014823| CALL ¢JHP.&kerne 132, Ex itProcess > kerne |S2. Ex itProcess 

664014603) CALL <JHP.&userse. GetOlgitem> User32. bet” 

Be461264) CALL z.JMP.£&user22.GetDlaltemTemntH user. Get Follow in Disassembler Enter 












Be461667) CALL <JNP.&kerne 132, BetHoduleHano kernelzz.t 
B46. ppo CALL €dHP.&comcti32. In itEommonto (Initial [ 





g6401852| CALL <JMP.tuserS2.LoadBitmapA>  [userí2.Los Toggle breakpoint Fz 
a64a1871| CALL ZHP, &users2. LoadEitmapA> : W l 
GG4G1098| CALL <JMP. LuserS2.LosdB itmapA> Conditional breakpoint ShiFk-+F2 
GG4G1232| COLL £JMP. &uzerS2.LoadBitmaph? = l 
BBABIBRF|CRHLL JMP. &userse.LoadI ona? Conditional log breakpoint Shirt-+F4 


66461191| CALL zJdHP.&€uzerzz.Releasecapture 
mHadgdisEH|CHLL CRP, user, Re leaseClapture 
Hal BG CALL €JMP.&uzer32.S5endDlaltemhMesz 
66441483| CALL <JNF.&userse. Sendo lgitemtess 
HAL" CALL €JHP.£&user32.S5endDlaltemhMessuserai- 
66401345| CALL ZP, &userse. Send0lgitemMess userse 
66844814BF| CALL CRP, &userse,. SendtessageA? d 
BadgiiBz|CHLL CP, &users2, Gendhlese agoe 3 
BE4613SFB) CALL < MP, &userse,. Gendhleee aaen 3 


Help on GetDlgltem Ctrl+F1 


Set breakpoint on every call to aetDlgIEem 


Set log breakpoint on every call to GetDlgItem 


Set breakpoint on every command 


Be461144| 
66461180 
4441395 | 


66441 ICE 


JP, &adi32. SetBkEo lor > 
P, &adis2. SetBk Color > 
JP, &adia32. SetBkCo lor > 
JPP, &adis2. SetBk Color > 





Set log breakpoint on every command 


664611371/| CALL <JHF.&odi32, Set Bk Mode > 
664401356| CALL <JMP.&od i Sz. Set Bk Mode > 
Be461120) CALL <JHF.&odis2, Set TextColor> 
664411r3| CALL <JNP. &od ise. Set Texto lor? 
B6441S3rCE| CALL <JNP. Sod ise. Set TextCo lor? 
BE4613BF) CALL <JNP.&adise. Set Texto lor? 
Be4h1645) CALL ¢JHP.&users2. SethlindowTextA 
BE4616ER| CALL ZP, &useri2, SethlindowTexth 
Be4hle42| CALL €dHP.&users32.S5etWindauTestH 
Hal Ze CALL €JMP.&users3z.SetWindawuTestH 
Be4h1280) CALL Cp, SM SET SE» SerWindouTestH 


na E rug A ID Du vn, Cee hl i e AA 


Address | Disassembly 


66040116E| CALL <JMP.&adise.CreateSol idBrus 
HE461141) CALL <JUNP.&adise. CreateSol idBrush G 
HE461154) CALL <JHF.&adise. CreateSolidBrush G 
BE46115A) CALL z.JHP.&adis32.CreateSolidBrus 
BE461550) CALL <JMP.&adise.CreateSol idBrus 
Be461598) CALL «JHP.&adiasz.CreateSsolidBrush G 
HE461303) CALL <JHF.&adise. CreateSoal idBrush G 
BE461506) CALL <JUNP.&adise. CreateSol idBrush GOT: 
6461622| CALL &JHP.£usersz.DialoaBosFaramB user 
6644411E1| CALL CRP, &users2. 0ialogBouParame user 
BHE4612689) CALL &JHP.£usersz.Enablelindow? | user 


Copy Eo clipboard 
Sort by 
E 










FT F F 








2 E GE 
ZetiindawTestH 
sero-,.SetllindewTestH K 


AA seat pis 


Destination 


32. CreateSal idBrush 
32. CreateSoal idBrush 
2, CreateSol idBrush 
i. CreateSol idBrush 
te. CreateSol idBrush 
52. CreateSoal idBrush 
CreateSol idBrush 
CreateSol idBrush 
z.DialosBosFaramH 
z.DialosgBasFaramH 
2,Enablellindaw 


Lb 
















6684412F5| CALL zJWHP.&user3z.EndDialoa? Weer EndDialoa 
BHa461367) CALL &JHPF.£€usersz.EndDialoa? user32.EndDialos 
66401416| CALL <JMNP.&users2. EndDialog? USET EndDialog 
Ha461625) CALL JHF. kerne l32. Es itProcess? | kern 2. Ex itProcess 
CALL «JUMP. user, betDlalten: user 2.BHetDlaltem 


CALL Z£JHPF.£usersz.metDlaltemTeHtb user2-.GetDlaltemTestH 
He461 687) CALL CINE. &kerne 32, GetModu LeHand kerne 132. GetModu LeHand LeR 
madaimmu CALL <JNF.&comet 132, In itCommoanta SE CPU selection) 
BHE461652| CALL CRP, &user32. LoadBitmapA? Wee 
Be461671) CALL <JMP.&user32. LoadBitmapa? 
HE461696) CALL CRP, &user32. LoadBitmapA? 
HE461333) CALL «.HP.&users3z.LoadBitmaph- 
HE4616AF) CALL CRP, &user32. LoadIcona? 
6441181| CALL <JNP.&users?2. Re leaseCapture 
mnadadia2EH| CALL ZHP, Suseräz, Re leaseCapture s user 
66441664| CALL “UNF. &users2. Sendi lgitemtess user 
HA4618835) CALL “UMP. &users2, Sendo lgltemtese 2. Sendi lol temMessageA 
He4h16A2| CALL zWHP.&Suser3z.SendDlaltemhessusz ', Sendo LaltemlezsaadaeH 
magdmis45|CcHLL <JHF.&user32. Send lgitemMess userse. 
664416BF| CALL CRP, &users2,. Sendtessageh> de 
664611B2| CALL <JHF.&users2. Sendtessageh? 
664413FB| CALL CRP, &users2, Sendtessageh> User, 
6644114A| CALL <JINP.&odise,. Set Bk Color > GOS. SetBkColor 


LoadEitmapH 
LoadIconH 
-.Releasecapture 

-Re leaseCapture 

2. Sendo lgitemhMessageA 


84481196) CALL Zz.HP.&adi32.SetBkCalor? BOISE. SetBk Color 
BE481399) CALL IMP. &adis2. Set Bk Color? GDIS2.SetBkColor 
Ba4adi2crC|CHLL Z.JHP.$&adi22.SetBkCalor? GDIZ2.S9etBkCalaor 
Dap) 12 CALL £JHP.£&adiz2.SetBkHode? GDIS32, Set Bk Mode 
BE481396) CALL <JMP. gd 132. SetBkMode: BOISE. SetBk Mode 


, Set TextColor 
, Set TextColor 
, Set Text Color 
Set TextColoar 
2. SethlindowTextaA 
.SetllindowTestH 
2. SetllindowTextA 


SethlindowTextA "F 
173 m e A M e da Tet 
kl 


664981120) CALL <JINP.&odise. Gerfeurtolorz GOI 
664481173| CALL <JNP.&adise. Set TextCo lor? GOI 
BE46137C) CALL <JMP.&adise. Set TextColoar? GOI 
BHE4613BF) CALL <JMP.&adise. Set TextColar? 

He461645) CALL CIRP, Suseräaä, SethlindowTextda 
HE4616ER) CALL z.hHP.&Suser2z.SetlindowTestH 
aadal242| CALL UMP. Lusec32, SethlindawTextAs 
HA4612°9| CALL zWHP.€Suser22z.SetWindowTestH 
He461280) CALL CRP, aucerse. Seti indowTex tA 


fe ru ZZ IDN or vm Set bli e deni Tea + 


Fo Di Pa Pà Pa DA 








Cada vez que Olly alcanza estos dos calls, se detendrá (antes de ejecutar la llamada). 


Reiniciamos la aplicación, pulsamos F9 y vemos como Olly se detiene en el CALL 


GetDigltem: 
. 6A 6B PUSH B  — — ^  |j|prütentrolID = 6B (187.) 
FF?5 me PUSH a, [nina = = BABAB112Z (TOC [441" ,olass="32770") 
ES 24040066 CALL GetOlaltem 





Ya que no hemos introducido nada hasta ahora, realmente no nos interesa lo que 
contenga GetDigltem. Así que seguiremos pulsando F9. 
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OllyDbg - Crackmeb.exe - [CPU - main thread, m 
[c] File View Debug Plugins Options 


ex 44] X 


Running 


BE48189F 
DAD LD 
DÉADTL DD € 
DAT DU 
B41 HAF 
664010864 
644416B5 
DRAI BB? 
agta BBC 
aqil HEF 
60401004 
DAT OC 


aqal ACE 
66401003 
6684414605 
66441604 
66461 É0F 
604010E4 
668441 DEU 
66441 GEF 
BE4618F 1 
BE4616F6 
mpadaiasrB 
668441100 
Bpa4811i]? 
66401162 
6644116E 
668441113 
6461114 
6461117 
64441115 
668441123 
664601125 
6646112A 
66844110 
668441132 
6401134 
BE481157 
64441135 
66441141 
6441146 
646114" 
6640114A 
44441 14F 
4 








BHe46123C 
EISE TER 
404681247 
EISE TSN 
6440124E 
6401253 
64461255 
HE461254 
HE46125F 
644151 


6401269 
6601260 
664016 
Bade 222 
BE4B1279 
nagdal27E 
Dap 200 
IS EW 
HAL 20 
nedalzan 
LS RER 
DA) 235 
HAD 222 
6644812390 
BE48129F 
60461241 
6461-26 
66461248 
660401281 
mniadisga 
60461289 
Hal 2DE 
AL ZC 
0401205 
HAL ZC 
66491206 
606401202 
66481207 
4461206 
66448120 
Dap) ZE 
GES 
SE 
Ag a E 

sil 


















FFr5 Ba 

ES C*9mjaman 
6A 64 

FFS5 CC 20409 
E Dopdgpog 


6A Hl 

568 Smnamamnmg 
FFrs aa 

ES B2B48man 
6A BB 

EE db Ha 


ES 84640866 
AS 20304060 
6A 12 


DÉI 69304006 
ES 3 040606 
628 69384068 
FF35 203040004 
ES SDB84BmnaB 
6A 12 

628 69304006 
ES 20040606 
ES BCA2ABB6 


Sree 36818068 


ro 
63 DOUD 
2E r5a4aaan 


Ce 1000 
ES Foi opp 


S170 ac 35010066 


r5 30 
68 FEFEFEFFDG 
FFFS 18 

ES 68640068 
GH 61 

FF?5 18 

ES 52040606 
68 POD 
ES 42640868 
SH 

FFr5 18 

ES 3aFB4aman 
&Aa mnn 


FF35 503444860 
ES 350304640 
6A 16 

68 1F384006 
ES Cée2eoeg 
ES e EN 


68 50304600 
eB 


FF?5 BB. 
ES EFBzBaaa 
SSES BB 

72 10 

68 maman 
FF35 20304098 
ES FEB2BBBB 
SECA 


r5 18 

68 Bg3a4gan 
FFS5 20504006 
Es ERBzaaad 


68 50304600 
Es 24810600 
BECA 


fo LF 

62 BFSE46o8 
FF35 50344060 
ES CBB2BBdB 
BH Bä 

FF35 503440648 
ES 220200640 
EB 1H 

6S mBasadauaa 
FFSS Sas3m4mam 
2 RHcazaan 


BE 
6S Bagaadaan 
ES P E 


62 BFS64006 
ES 33020064 
EB 22 
8370. 18 6A 
FE Ir 


KU 


uis 


m 
= 
ue 
Kess 


PUSH EAA 
PUSH 1 
PUSH Op 
PUSH 


"00 
et 
eu 
EE 
m 
D 


"nm 
ae mes Em] 
e na Ean 
LE 


"00 
[um = 
eu 
ZEE 


CH 
En 


P 


Si 


r 
m 
D 
= 


e 
= 
a 


QU 
ES 
eu 
JE E 


"00 
== 
ud 
ZIEL 


Tn 
= 
ue 
I 


"nm 
== 
eu 
SEE 


S | 













PLI 





PUS 
Chir ER A, 














PUSH o 


PLUSH DWORD PTE 


Window Help Tools 


£M) a 


6d 
DWORD PTR DS: [483870] 


DWORD PTR OS: [4683686] 


USH mDDaad 


PUSH DWORD PTR Ds: [4850887 
-— 16 E E 


PUSH deeg 
PUSH 6 


PUSH Cra T Bana ` 
PUSH DWORD PTR DS: [483080] ` 
IP Vsus er —etllindaeuwlse-z 





BreakPoink- = 


ss 


Ix [x 


co |f hind = BaisFD4s 
sendO laltemMessagen 

Rerchame = inm. 

[pins t = BHB4mgmBBBE 
LoadIconR 
lParam = = 
wFaram = 
Message = Jun SETICON 
hind = 13F048 
SendMessagen 
ControlIO = 66 i107.) 

[hina = BHBHl3FD4a8 
GBetOlalten 


eee PTR DS: (463856), EAS 


"Patas Est Hr Foun 3?" 
HEABSH1SA [class="Edit" parent-466446112) 


Encrmipred|Eassveord[irackrie] [4] i 


Password) Your input please, 


or = <WHITE> 
= male4293 
Ten tColor 
BkHMode = TRANSPARENT 
ee = Baüleé42983 
Set Bk Mode 
Color = RGB(H.,221.,8.) 
CreateSoal idBrush 
Color = <BLACK> 
[noc = Bale4293 
SetBkColor 
Polo 2 RB5BHEB..221..H.1 




















hind = BRaASA1SA [class-'Edit"',parent-mmamapmgiiz)l 
SethiirdowTestH 


ASCII "Mtet ji" *lFahB.zHnkz^gnu."" 






Count = E [12.1 
Buffer = Crackmes. be4HS850 
Control = 6B rig.) jit] 
hind = asanaliz Ce TOC Cad)" class=" #2778" 1 

bGetOloltemTenth `: 









Text FACCESS DEHIED*'" ` 
hind = mBadsaHi3H relass-'EdEt 
SetllindoawTestH 





 parent=800A81121 





“DS: [403020] | 


PUSH Crackmes, 004 GE 
PUSH DWORD PTR OS: [463088]. 


3 DS: [4050802 





Erackmeb, FE4H30HF 


Text = "ACCESS DENIED?" com 
hind = BEBSBE1SA (class="Edtt", parent—S66Ab112) 
Set indowTe=tA 

Crackme&. maar 












Crackme&, muiamammr 


Text "ACCESS GRANTED+"" 
[pino = BESSA lolass="Edi* 
|| KESerlindouTestH 

[iting = = FALSE 












parent 60008112) 






hind = mBadgBsaHi3H [class-'Edit',.parent-maadpgmgiizl 
Enablelindau 











Text "ACCESS DENIED" 
fe [ins = gaagaisH lelass="Edié”, parent-666461121 


SethlindowlexthA 







ASCII "ACCESS DENTEDt"™ 


ASCII "ACCESS GRANTEDt"™ 
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Si miramos un poco alrededor, podemos apreciar algunas cadenas de texto muy valiosas 
que al principio no aparecian o estaban cifradas. 


Empezemos a crackear la aplicación. Vemos una instrucción JB que salta por encima de 
nuestro pirmer "ACCESS DENIED". 





Bnj4siz52| > 6A BC PUSH oC Count = C (les) 
BES468125R e 688 S0s84888 Buffer = Crackmesé, 64836850 
6b4B125F eH B&B ControlID = 6B (18T.) 
664681261 EF cb as hind = BEBABLI2 ("TOC [#4]" class="#s27ra") 
ES EF GetOlgiltemTextA 
664681269 esrFa BE CHP EA”, DÉI 
Ba48126E 63 BESE4688 PUSH Text = "ACCESS DEMIEDt” 
Bg4gi2?3 FF35 5858408040 PUSH DWORD PTR OS: [46348368] [ina = BEBSHISA (class="Edit’ , parent =888AR112) 
Bg4g1279 ES FEB2BBaB CALL SetllindouTestH 
BB4Bi2zvE | > *B5CB TEST EA. EHa Crackmes. SE48388F 


nuestro segundo “bad boy". 





A continuación nos encontramos con la instrucción JNZ, que saltará por encima de 


Posteriormente saltaremos hacia nuestro “good boy”. 



















EB Erëzonng LictOloltemtertA 
6401269 SSF BB Ss EAX, GE 
Ba4ailz6E B8 Ba3848088 exem Text = "ACCESS DENIED!" 
EEEE FFa35 S6304000 PUSH DWORD PTR Ds: [4030860] [nino = BBBSBISA (class-'Edit',parent-üBanaell2) 
EEE ES FEZA Setilindawlexta 
BedBl2zrE | > BSce TEST EAM, EHE Crackmeé, BBacreaar 
BB4BdlzS2 | . |68 66304098 Text = "ACCESS DENIED!" 
wa | ` | Eres apsadana | PUSH DUORD PTR DS: T4pscec [nino = BBBSB13A (class="Edit" parent=00008112) 
ab4e1280 | . | EB EoGGGoon SetllindowTextA 
Be4glzo92 | > 45a PUSH Er Crackmeé. BBacgrsmar 
6461293 | . 68 50304090 PUSH Cracknes, 28482050 
66461298 ES 24010005 
66461290 BEC La l Crackneé 00481421] EAH Crackmeé. p04030AF 
BBdBl29F | le 75 1F ¿Nz SHORT Crackmes. 80401200 
66401241 Gë BF384888 Text = "ACCESS GRANTED?" 
Ba4a12h6 FPS S6304000 PUSH DWORD PTR Ds: [403086] [nino = BBBSBISA iclass-'Edit',parent-üBanell2) 
66461240 ES CEG2600 SetllindowTentA 





Reiniciamos la 


Nustro objetivo es por tanto saltar por encima de los dos “bad boys”. 
aplicación, pulsamos F9, (eliminamos el primer Breakpoint) e introducimos la contraseña. La 
aplicación se detiene en nuestro segundo Breakpoint. 


Pulsamos F8 dos veces hasta llegar a la instrucción JB. Tomamos el salto que nos 
llevará a la dirección 40127E, donde nos encontramos con una comparación TEST. 





OllyDbg - Crackmeb.exe - [CPU - main thread, module Crackme&] 







[c] File View Debug Plugins Options 
b- Il 





BB4B124E 
0A461253 











ex 44) X 


ES BHEBHSEBEBEBH 
FFAS 54304600 
2130 243046000 


r4 m 

. 8130 243040004 
e rÊ 20 

> 6A 16 

68 1FSe46868 
ES E4e2n888 





Window Help Tools BreakPoint-> 


ei IS 4 


IHC DWORD FTR DS: [463034] 
CHF OWORD PTR DS: [466034], 1F4 









bs) + =+: 





Ir 






F4 
F4 


CHP DWORD PTR DS: [4603089], 1F4 
JBE SHORT Crackme6. 00401258 
PUSH 16 

PUSH 


SCII "Nietlji* FlfaheeMnkeanw. P 





ss 1F364666 PUSH Text = "Hyetji' 3L fahzTnkzunu."" 
FF35 2630400 PUSH DWORD PTR OS: [4603050] [ins = BalliBl22 (class-'Edit',parent-umuiimi5 
Es 235063060 SetllindowTextA 


GH 16 

68 1F304606 
. ES LZ 
» Ed B4Bnmanmma 


ASCII "Met ji* tlfahe@eTnk“Hnv™ 









0461255 | + 6A BL Count = C [12.1] 
Ba4giz5bH| . 68 BDzp4pop Buffer = Crackmesé., eed 
SEIN GH GP ControlID = 66 clar. 
66461261 FFr5 m3 hind = Baiigibs2 i" Thé [14]",classz'ss2rrü') 
ES EFBG2BaBB BetBlgItenTexth 
Ba4gi2ze9 | . S3FE BE 
BA46126C | .-rr2 16 
padBis56E| . [62 DZ Text = "ACCESS DEHIED*" 
BA4h1275 | . |FF35 563084606 [ins = 60116132 [lclass="Edit”" parent=06811681521 
Badgiz?9] . | ES FEB26606 SetllindowTextA 
BE4E127E MESAS 
Bpa4812s5 Oe r5 10 
Bpa481222 ES 55515515515] Text = "ACCESS DENIED*" 
Bpa48128r FF35 58046004 [hina = 66116132 folass="Edit” parent=0011615 
piani; an . ES EHB2BmaB SethlindowTex tA 
BB4h1292 | > EA 
G04012293 | . Gë 5D204000 ASCII "i212121212'"" 
SEI ES 24010606 
66481230 BECA 
Bpa4gi29F | .- r5 1F 
Bpa4812B1 628 HE 2D4D0p Text = "ACCESS GRANTED+" 
Be461206 FF25 Sua3m4nmad PUSH DWORD PTR Os: [4683434] [hina = 6116152 [class="Edit" parent=061161521 
644412AC ES CBh2Bana SetllindouTeutH 
66481261 GH BA PUSH & Ensble = piss 
444412853 FF35 563684006 PUSH DWORD PTR OS: [463456] [hina = = 00116132 lclass="Edit”, parent=06811681521 
BE4G12B9 | . ES Sazon EnableWindow 
Ba4gi2BE | .~ EB 16 
Bpa4gizca | > 628 ma3ag4asns PUSH pus = "ACCESS BEHIEBT" + | 
ARSE 1 ATE 2. ERASE. mami PUSH ONAN PTR Dean) hin 4 = 46116132. class="Edit".narent=441 1515-41 
4 k 
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Pulsamos F8 para detenernos en la dirección 401280 donde nos espera una instrucción 
JNZ (En este momento podemos ver nuestra contraseña en la columna de los comentarios). 


OllyDbg - Crackmeb.exe - [CPU - main thread, module Crackmeb] 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 





























D D LI D D Rem | BEE 
edd xl II "wi* SE LE a a XH. 
DAD) zag ES OEDZDD ES 
Bpaaniaan FFHbE 243084460 IHC OWORO PTR OS: [443684] 
Dap) 2172 . 5130 54304066 CHP OWORO PTR OS: [403684], 1F4 
648468110 v T4 BC JE 
Dap) 21E . 8150 84564088 CHP OWORD PTR OS: (485884), 1F4 
Badal229 | .~ rë 20 JEE SHORT Crackmeé. 00401258 
BA4h1 228 6A 16 
66441220 BS 1F304060 ASCII "Hystii'JLfahB.zHnk-^unu," CH 
DAD) ese ES E4B2manma 
Dap) 2724 . ÉS iFa2mdaman PUSH Text = “Met ji*tlFah@eNnk-“wny.™ 
44441238 . FF35 &BB3B4hlBa8 PUSH DWORD PTR OS: [4638284] [nina = HBBllHi32 [classz'Edit',parentchBlliBlibz] 
Dap) 242 , ES 35858888 CALL Set WlindowTex tA 
SES , BH 16 PUSH 16 
Badaiz49 | . Gë 1F3B4Ban ASCII "MtetGi LE abBcHnk «Emu, H 
Badaizd4E | . ES Cap 
Badegi253]| .- ES Bd 
Badais5a8| + 6A BC Count = C C12.) 
Dap) 20 , 6G 503644646 Buffer = Crackr ep, BASSO 
Dap) 2 , EH 5B ControlIO = 66 (167.1 
ISSN) ,  FFr5 HS hind = 60119152 ("TOC [i4]',class-'st32rr8'") 
. ES EFü2anam GetOlgitemTexntA 
BA4h1269 | . S3F8 BB 
Badsali2ec | .- Fe 10 
DAD) 26E BS Basan Text = "ACCESS DEHIED*" 
Dap) 22 , FF35 20304006 [ina = mBallais2 (celase="Edit" ,parent=66118152) 
Dap) 22 , ES FESZg Set WlindowTex tA 
HA) ZE » BSCH 
BA4H1 250 705 18 
Badai2za2 | . | 68 DZ Text = "ACCESS DENIED" 
Badai2ary | . | FF35 20304606 Ro = BH1181S2 (class="Edit",parent=86118152) 
Badai2zaD| . [ES Eügapopp SetllindowuTeutH 
Dap) 2272 + FER 
44401293 . 65 503644646 ASCII "i2i2l21l2l2"” ile 
44401298 . ES 244810666 
Dap) 220 =- BECH 
Badai29F | .* TE 1F 
66441281 . 568 HE 24 Text = "ACCESS GRANTEDt™ 
Badai2zHo | . FF3S 20304600 Ro = mallai22 lolass="Edit” ,parent=86118152) 
BA4612AC | . ES CBa2amam um < SetllindouTeutH 
6441-61 =- EH HA PUS Enable = FALSE 
Dap) 263 . FF35 20304066 PUSH DWORD PTR OS: [403056] [tino = HBBllHi32 [class=" Edit" ,parent=66118152) 
44401289 , ES 2548204040 EnableWwindow 
BA4H12BE | .~ EB 1H 
Badai2cH | + Gë 66304066 Bh = "ACCESS DENIEDt™ sl 
ARAL ATE, EE Bm Be a DET! PTR OS: TdAsaAsal blind = ARLIAIAS reclaszez'Edit'.marentchhlilimlbes-! 
4 + 


Tomamos el salto por encima de nuestro segundo “bad boy” y seguimos pulsando F8 
hasta llegar a la siguiente instrucción JNZ en la dirección 40129F. 


OllyDbg - Crackmeb.exe - [CPU - main thread, module Crackmeb] ! 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> E |a| x 


e 44 Xx] KI SA gb | a TAE 


FF35 s@se4eee [PUSH DWORD PTR DS:[483088] hind = BBBHBISH lolass="Edit”,parent-00890118) 5 
ES 35030000 SetWindowTextA 

6H 16 PUSH 16 

68 1F304000 ASCII "Meet jit} £ahBeMnk. unu," 
ES Coposon 
y ES B4BBBBBB 


ac 
6S 50304600 
6A 6E 
FF PS » BS 








Dap) 27 
Dap) 20 
be4e6125A 
Dal ZE 
66461261 


64441269 









Count = C (12,1 

Buffer = Crackmed. eer 

ControalID = 66 (167, _| 
hiing = Baasalia (Toe [#4]" ,clas<="*532717r06" 1 

GetDlaltemTertA 


A EH HB HB B NH NH NH BH BH BH NH BN N N 
CD 
= n MID = 
TU 
oo 
El 
m 








Bia4812ec v Fe l8 

BE46126E 62 maga Tent = "ACCESS DENIEDt™ 

Bpa481273 FFS5 53040004 [nina = HABIA lolass="Edit",parent=006826116) 
DAD ZC ES FEBZBBaBH SetllindouTeutH 

padB812rE + BSCH 

DAT 2288 v r5 16 

BE481 252 62 BASADA Text = "ACCESS DENIEDt™ 

Be461257 FF35 53040004 [nina = HANIA lolass="Edit",parent=006236116) 
64481280 ES ERB2Bama SetlindouTeutH 

BA46i2e92 | > Ep 

BE4B129S | . 6S 50504606 

BE461295 | . ES 534010600 

BE461290 | . BECA 

6641-35 MAS 

668448121 . | 68 AFS04660H0 PUSH Text = "ACCESS GRANTEDt™ 

pada8i2zHe | . | FFSS 20304004 PUSH DWORD PTR OS: [463456] [nins = BEBABISA iclass-'Edit",parent-ümadsnmslis) 
Ba4gi2HC | . | ES CEO20660 SetllindowTextA 

66481261 = | 6A a8 Enable = FALSE 

BE4612B3 | . | FF35 56304004 DWORD PTR OS: [4623026] [hina = BEBABISA (class="Edit’ ,parent=86886114) 
padBi2B29| . [ES 25824606 Enablehl indaow 

padBl12BE | el EE 10 

BE4612CH | SIE (ISS PUSH Text = "ACCESS DENIEDt™ 

BE4612°05 | . FSS 563046000 PUSH DWORD PTR OS: [4683434] [hina = mBBHBO13H (class-z'Edit"',parent-zümmad8lis) 
BE4612°CB | . ES BCca2zaman SethlindowTexntA 

66481206 | > GH BE 

DAT 221, 68 HZH ASCII "ACCESS DEMIEO?*" 

bedal2D0r | . ES 3Fazaman 

Ba4gi2DC | . GH BF 

BE46120E | . Gë ara3m4nman ASCII "ACCESS GRRHHTED'*'" 

BH46H12E5 | . El 33020660 

BA4612ES | .- EB 22 

Ba4gl2EH | > S370 i8 6A sl 
ARAL -FE Er ESSE TATE INS 

4 k 


Este salto pasará por encima de nuestro *good boy". Cosa que queremos evitar. 
Cambiamos el valor de la bandera Z para no tomar el salto y pasamos por nuestro “good boy" 
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OllyDbg - Crackmeb.exe - [CPU - main thread, module Crackmeb] 


[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 


BASE 250 
DAD) 242 
Abd4e1 247 
ae461249 
BASE 24E 
66441253 
664a1253 
464412548 
DA) SF 
DAT 261 


DA) 269 
B41 260 
aadi 6E 
DA) 273 
Hd) ZC 
Bmn4ng127 
Biada122n 
Biamd12232 
aadh 257 
b64a1280 
46441292 
GISEISRECK 
am4n1293 
46441290 
BA461 aF 
Be4e12A1 
aagal 206 
DA) ZAC 
B41 261 
am4n12E3 
46441289 
DA) BE 
am4n12c8 
46441205 
DA) CE 
A461 208 
66461202 
46441204 
6644100 
e461 20E 
DA) E3 
DA) ES 
DodpT EA 
Did) AEE 
4 


kl 
FFS5 2626400 


35030004 
16 

1F304 006 
Damn 
EA ciam 


=" 


E 5Das4nnn 
É 


6A & 
EE cb o 


ES 


EF AZARAE 


2323F BB 


r2 


= 


62 


FF35 56304606 


ES 


10 
5/0/5155 131515] 


FESaZg 


BECH 


r5 


65 


FF35 50304066 


ES 
5H 
Beo 
ES 


ES 
GH 


FFS5 568304006 


ES 
EE 


6s 


ES 


1n" 
sl 5515]515] 


ERB2BmBaad 


1555151515] 
24010006 


| —r - .  — — — 


62 DE2D4ADDD 
FF35 5030406 


CBm2mBdB 
B 


Etsisa lala 
14 


88304000 - 


ACA ARE 
BE 
5/5/55 151515] 
SF a2ZRRAE 
HE 


iS BF2B4an8 
| 33020000 


aS 
YE 


I 


vO 16 6A 
11: 


dump is HOT taken 


eis es Es zt 
PUSH DWORD PTR DS:r4838881 
CALL 
PUSH 16 


PUSH 
PUSH DWORD PTR DS: [465086] 


USH E 
OSH DWORD PTR DS: [4686568] 


PUSH 
PUSH DWORD PIR OS: [4643486] 


PUSH BE 
PUSH 
PUSH BF 
PUSH 


HP 


hind = HHHARISA (class 
SetlindowTextA 


ASCII "Mtetii* Fl fF aheet 


count = Elta 
Buffer = Crac 

ControlIO = E 
hind = BHESH116 
GetOlgltemTextA 


km 
B 


hind = HHHABRISA (class 


Déi = "ACCESS DEHIED* 
SetlindowTextA 


hind = BEHEARISA [class 


[rins "ACCESS DENIED? 
SetllindowTextaA 


Text "ACCESS GRANTED 
[nina = BBBRAISA (class 
SetllindowTextdA 
Enable = FALSE 
Ra = BBBRAISA (class 
Enab lell indow 


Text = "ACCESS DEHIED* 
[nina = HEBARISA (class 
SetllindoawTextaA 


ASCII "ACCESS DENIEDt™ 


ASCII "ACCESS GRANTED? 


al] 





gisters [FFU] A 
mdi] 
paa 
FCILEBI4 ntdll.KiFastSustemCallREet 
re 
malisFBrc 
Hal3FBrc 
640816820 Crackmeé. BE4e1620 
hai SFBE4 
Be46129F Crackmeé.tuda1z9F 
ES 625 52bit &L[FFFFFFFF! 
CS DÉI 32bit BIFFFFFFFFI 
55 HH23 32bit HÜFFFFFFFF1 
DS 6623 32bit BIFFFFFFFFI 
FS BB3B 32bit FFFOES&e&( FFF) 
GS BEBA NULL 
LastErr ERROR_SUCCESS mall) 
padaadz4z iH, HE, E, BE, AS, PO, GE, LEI 
enpty 2.S8423232H842BH]58056366d8e-4325 
empty -LMORH GEI maman 4626627F 
empty 1.BHi133uJd2485485685436He-25H4 
empty HOH FFFF S6408F00 56535014 
emptu +UNORA HGS mamaadasp FRE4+6C35 
empty +UNORHA BESBE /BBISFEAC Gopoooopp 
empty -UNORM FE44 BmamBadza2 DD) 
empty -—1,.1449294985651 9355 9He+3006, 

z B ESPUOZO 

4426 Cond 186 & Err B BH 1 BAB 
HzvF Frec HEHR,B3  Hask i al aly ate al 
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7.7 Caso practico 7: Niveles de parcheo 


En Ingenieria Inversa hay una especie de regla no escrita sobre los distintos niveles de 
parchear un binario. Básicamente hay cuatro niveles para parchear un binario. Estudiaremos 
cada uno de estos niveles a través del crackme del ejercicio anterior. 


Nivel 1 - LAME 


El método LAME, o Localized Assembly Manipulation and Enhancing method, es el 
que estuvimos empleando hasta ahora. Trata de descubrir el primer lugar en el código donde 
aparece la combinación comparar/saltar y sustituirla por una instrucción NOP o forzar el salto 
con la instrucción JNZ. Este método ha funcionado de forma mágica en todos los ejercicios 
estudiados hasta ahora, gracias a la simplicidad de los binarios. Pero desafortunadamente no 
todas las aplicaciones son así de fáciles por lo que el método LAME se vuelve ineficaz. 
Veremos a continuación algunas limitaciones con respecto a este método: 


» Muchas aplicaciones realizan varias comprobaciones a la hora de verificar si un 
programa está correctamente registrado o no. El hecho de parchear un “bad boy" no 
significa que no puede haber más a lo largo de todo el código. Además muchas 
comprobaciones no son descubiertas hasta que sucedan otros eventos en el código lo 
que podría llevarnos a buscar sitios alternativos para parchear. 


> Hay aplicaciones que tratan de esconder deliberadamente la combinación 
comparar/saltar. Estas pueden aparecer en una DLL, en distintas secciones del código, 
modificados polimórficamente,. Hay muchas formas de ofuscar la combinación 
ganadora. 


» En ocasiones nos podemos ver envueltos parcheando 7 comprobaciones de registros, 
nopeando otras tantas comprobaciones, etc. Esto puede resultar bastante confuso y si 
somos sinceros no resulta ser una solución muy elegante. 


» No vamos aprender mucho utilizando solo este método. 


Dicho esto conviene resaltar que aunque parezca bastante rudimentario no debemos 
menospreciar este método ya que hay muchas aplicaciones ahí afuera que pueden ser 
crackeados poniendo un simple parche a una combinación de instrucciones comparar/saltar. 


Nivel 2 - NOOB 


Este método (Not Only Obvious Breakpoints method) implica ir un paso más allá del 
método LAME. Generalmente conlleva entrar en un CALL justo antes de la combinación 
comparar/saltar para averiguar lo que causa la combinación de instrucciones comparar/saltar 
actuar de una forma u otra. El beneficio de esta técniqua reside en que podemos encontrarnos 
con otras partes del código que hagan una llamada a la misma rutina de comprobar el proceso de 
registrarse. Parcheando un sitio puede llevar a parchear todos las demás lugares donde el binario 
llama a la rutina que comprueba el proceso de registro. No obstante conviene sefialar los 
siguientes inconvenientes de este método: 


> A veces se utiliza este método para comprobar algo más que un sencillo proceso de 


registro. Por ejemplo, puede haber una función genérica que compara dos cadenas, 
devolviendo ‘True’ o ‘False’ dependiendo si coinciden o no. 
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» Este método conlleva más tiempo y experiencia para descubrir las mejores opciones que 
llevan a devolver los valores correctos. 


Nivel 3 - SKILLED 


E] método SKILLED (Some Knowledge In Lower Level Engineered Data) es similar al 
NOOB, excepto que en este caso se estudia la rutina completa del código para ver exactamente 
lo que está pasando. Esto aporta un conjunto de beneficios como el de comprender todos los 
‘trucos’ que se están usando (como por ejemplo el de almacenar variables en la memoria para 
después recuperarlas), o el de ofrecer mucho más lugares para parchear y menos intrusivos. 
También aporta una percepción más profunda en cuanto al funcionamiento de un programa y 
por ende una mejora en la comprensión del lenguaje ensamblador. 


La mayor desventaja de este método es que es más difícil y precisa de mucho más 
tiempo. 


Nivel 4 - SK1LL$ 


Pensado como el santo grial del cracking, (Serial Keygenning In Low-level Languages) 
significa que no solo hemos descubierto la forma exacta de funcionamiento del proceso de 
registro, sino que también somos capaces de re-crearlo. Esto permitirá a un nuevo usuario 
escribir cualquier nombre de usuario y el código del generador de claves nos dará el serial 
apropiado para que funcione el binario correctamente. 


Estudiando la aplicación crackme6.exe desde el nivel 2 
Cargamos la aplicación en Olly, ponemos el Breakpoint en GetDIgItemTextA (401264), 


pulsamos F9, introducimos un serial, hacemos clic en “Check” y Olly se detiene en nuestro 
Breakpoint: 


- [CPU - main thread, module Crackme6] 
ic] File "view Debug Plugins Options Window Help Tools BreakPoint-> 













[ar dd X| b 


ES EFB2Bmaad 
46461269 . 53FS BB 
4684681260 e fe 16 





6: 





L sues seis 


CHP EAs, DÉI 











GetOlgitemTextA 















































Be4e126E . 66 DD2p4Dpp | PUSH Text = "ACCESS DENIEDt™ 

Dal Ze"? , FESS 8636466) PUSH OWORO PTR OS: [46368541] [nina = BHBS56118 class="Edit" parent 
Dal Ze" . ES FEG26066 | CALL SetllindauTestH 

Dap 2et > OCH TEST EA”, EHa Crackmeb, BAD ZDF 

4441254 v rO 1H - 
Eiadgiasz . &S BáAsa4aña | PUSH Text = "ACCESS DENIEDt™ — 
DAD 200 , FF35 8838460) PUSH DWORD PTR OS: [443654] [hina = HümbHli2 iclass-'Edit',parent 
68441250 . ES EAA2ZaARBA | CALL SethlindowTextaA 

644a12392 > SH PUSH EA» Crackme6,. BAD ZDF 

684412393 . 68 S50384a64a | PUSH 

6401233 . Es 84616088 

6441230 .  HBLH OR EAs, EAS DLrackmeb.tBiadasimar 

Biddaic-F aw rb LF 

44441241 . 68 BF3446668 | PUSH Text = "ACCESS GRANTEO*" 

Dal ZAG , FF35 8636466) PUSH DWORD PTR OS: [46436854] [nina = BHB561158 class="Edit" parent 
Dal ZAC , ES CBe2eeee | CALL SetllindauTestH 

4441261 . EA BH PUSH o Enable = FALSE 

4441283 » FF35 8838466) PUSH DWORD PIR OS: [443454] [hina = DDR IG iclass-'Edit',parent 
4441283 . Es 228624444 EnablelWindow 

Dap BE .« EB 1H 

684412CA > 66 BaAsadaña | PUSH Text = "ACCESS DENIEDt™ 

68441205 = FF35 8836460) PUSH DWORD PIR OS: [4636541 [hina = BHHSH118 iclass-'Edit',parent 
Dap CE , Es HRZ SethlindowTextaA 

68441204 > 6A HE PUSH HE 

64401202 . 66 Basada | PUSH ASCII "ACCESS DEHIED*" 

6441207 . Es SFHzZHBHBBdB 

6441206 . BH BF PUSH HF 

Eidai-apE . 68 BF344666 | PUSH ASCII "ACCESS GRANTEOt™ 

Dal ZE . Es 33620044 

Dal ZES EB 22 

Dap EA > 68370 16 6A CMP 

A44412EE E 

Dap ZE . EA BÖ Result = 8 

He4h12F2 , FFE B8 [nina = BHadiéHi2zz2 ("TOC [#4]" , class=" # 
Dap 2EE , Es 52626464 EndDlialog 

SECHER ee Y 
C TRITT > 
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Buscamos algo de ayuda sobre el significado de GetDIgitItemTextA: 


< Win32 Programmer's Reference 
File Edit Bookmark Options Help 


Dee me] | « [ » 
GetDigltemText 


The GetDigltem Text function retrieves the title or text associated with a control in a dialog box. 


UINT GetDigltemText( 
HWND ^L. A handle af dialog box 
int 5i/DDIgitem, ^! identifier of control 
LPISTR poting, ‘address of buffer for text 
Int niifaxlount ‘maximum size of string 


|: 


Parameters 
Do 
Identifies the dialog box that contains the control. 
niger 
opecifies the identifier af the control whose title or text is to be retrieved. 
looting 
Points ta the buffer to receive the title or text. 
nMaxtount 


cpecifies the maximum length, in characters, of the string ta be copied to the buffer pointed 
to by lostring. Irthe length of the string exceeds the limit, the string is truncated. 


Return Values 


It the function succeeds, the return value specifies the number of characters copied to the buffer, 
not including the terminating null character. 


If the function fails, the return value is zero. 


D ec En nec 





Destacamos lo que nos interesa: Uno de los argumentos es un puntero hacia el buffer 
donde será almacenado nuestra contraseña (IpString), y el valor de regreso en EAX es la 
longitud de la cadena. 


El puntero ala cadena del buffer es 40305D. 


aa481253 A 6A BC PUSH Go 
Dal 25A . 68 50384008 | PUSH Crackmeé. BB4ASBso 
Be46125F , EA 6B PUSH 6 
6441261 » FFFS m3 
. ES EES 





Buffer = Crackmeé. 66463650 


Es - gaiemi28 ("TOC CH4]',clase="# 
GetOlgltemTextA 











Esto significa que la función va a copiar el texto introducido en el cuadro de dialogo en 
un buffer que comienza en la dirección 40305D, y devolverá la longitud de la cadena en EAX. 
En nuestro caso la contraseña que hemos introducido, “12121212” va a ser recuperada y 
devuelta con la longitud de la contraseña en EAX, en este caso 8. Si ahora nos fijamos en las 
dos líneas siguientes veremos que este valor se va a comparar con OxOB (11d) y el programa 
saltará si EAX es menor que esa cantidad. Es decir, si la longitud de nuestra contraseña (EAX) 
es menor que OxOB (11 digitos) entonces saltará. Si no saltamos veremos como aparece nuestro 
“bad boy”, así que nuestra contraseña tiene que tener menos de 11 digitos: 
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SEL > GH HL PUSH BC Count = C riz.) ua 
Be46125A , 62 503446866 | PUSH Buffer = = Crackmes, 6463850 
Dap) ZE , 6H 6B PUSH 66 ControlID = 66 (187.] 
Ba4e1261 » FE D PUSH hind = 00176128 ('TDC [#4]", class=" # 

. ES EFe@2eeee | CALL GetOlaltemTextA 
OOr o 5D CMP EAS, DÉI 



















46401263 

464412865 Ye lH 

444A125E 63 Bazaddnmma | PLUSH Text = "ACCESS DEMIED*'" 

46441273 FF35 2436466 PUSH DWORD PTR DOS: [4643434] [hina => BBBRB1S2 [class="Edit", parent 
46441272 ES FEB2ZBHBGdH SetllindowTextA 

BHA46127°E OCH TEST EHS, EAR Crackmes, BE46300F 

40481258 UNZ SHORT Crackmeé, 00481292 


Una vez realizado el salto pulsamos F8 hasta llegar a la dirección 401280: 













ES EFseeeee | CALL LoetOlaltemTesta 
Ba4e1269 . SSFS BB CHP EAA, DÉI 
Dap 260 e Cé 16 
Dap 26E , 688 BESe468e8 | PUSH 
D4pl 22 , FFSS Ss8s64e6) PUSH DWORD PTR OS: [4683684] 
Başal » ES FEB2BBaB 
DATE PE « TEST EA”, EAH 


ro I8 

» | 68 BESe8468e8 | PUSH 
FFSS 5430408 PUSH OWORO FTIR OS: [46843686] 
ca " ERA AREA 


hWnd = BHBAB152 [clas=="Edit" parent 


DN - "ACCESS DENIEDt™ 
SetllindowTexthA 












Text = "ACCESS DENIEDt"™ 
[sina = BRRABISS (class="Edit" ,parent 
SetlilindauTestH 





ASCII "12121212" 








00481298 CALL 
46481290 OR EA», EA: 
8461 29F JMz SHORT Crackmeé. 00481208 


Si nos fijamos en la dirección anterior (40127E) vemos que en ella se comprueba que 
EAX, que sigue almacenando la longitud de nuestra contraseña, sea igual a cero y si no es igual 
a O entonces saltará por encima de nuestro segundo “bad boy”. 


Ahora sabemos que el primer “bad boy” comprueba la longitud de nuestra contraseña y 
el segundo “bad boy" combrueba si la contrasefia tiene O digitos. 


Después de tomar el salto, aparece la instrucción PUSH EAX, que pondrá la longitud de 
la contrasefia en la parte superior de la pila. Luego aparece la instrucción. PUSH 
Crackme6.0040305D, que pondrá en la parte superior de la pila la contraseña almacenada en el 
buffer: 





- [CPU - main thread, module Crackme6| 
[€] File View Debug Plugins Options Window Help Tools EreakPoint-=> =| ET NR 


Gadaizsr | . Gë REISE PUSH 1 Te: "etal HEFTE Tink ^n 


pada1z3c i F35 8820486) PUSH Dl ORD. PTE Ds: [493089] hind = = BHBABISS: (olass-'Edit" «M 05 
Baadailcaz : B 566606 | EALE SetlilindouTeuth 
| ede 247 , EA 16 PUSH lẹ . ZONE 
Ayalaa e 2 1F36468646 | PUSH Crackreg, ad 2p1E ASCII "ist iI8 ELE abRchink om, P 
mgdaiz4E éi CeeZheee | CALL Crackmee pr 
Bgadail253 d S pond JHF Crackmeb. 60441360 
664441255 z = FUSH | Le? Count — C 112 
amgdma1z5H i i 204000 PUSH Crackme&,.tBmamdasa5n Buffer = crashes. a64ASASO 
padalz5F i BE PUSH ControlID = 6B (lur. 1 
664412061 ‘ FETE aa P WORD PTR Gs EPP) 3 hind = Baivaiss ("TOC [441 class=" #52778" | 

. ES EFüGZBBBdd MF. Susersz.a8etDlaltemTeutH- GetOlgltemTextA 
64012639 ; Bere HE 
mngdalzec ew Cé sHOF ack mens, 0441 ? 
BE4G126E $ ec IS rackmeb. BEID Test = "ACCESS DEHIELD*'' 
Bnagdgnlzy3 k J F1 : [4 [nina = = BanpBgIE2 [elas=="Edit",parent=061/r01253) 
gadn]279 SethlindowTexteA 
Bpadalz?E 
66401224 à . SHOR rackmeb,. Hal 292 
6641282 . 68 BaAsAdaba PLISH Ae ers Er Text = "ACCESS DEHIED*" 
E zu , FF35 8836466] PUSH DWORD FTR DS: [pina = BEGHBISS [class="Edit" .parent zl rales) 

ES EZ SethlindowTexteA 
FUSH EAR 


EB 

568. Ei2papnpnp | PUSH Cra SÉ, HE403550 m z = LSE E E ae ura. 

EE Bani | Era ep, Hd EA 

BECA U SC „ERI — 14 LA mn 

rS iF ack mee, BESET ECE 

63 BFSA4000 PUSH ep, HDD Text = "ACCESS GRANTEOt" 

FFSS 2430406 PUSH B DWOR: PTR OS: C4603056] [niin = HEGABISS (class="Edit" ,parnt a6) reales) 








S tL . ES LCBmzmmmm | Wsers2. Sethlindowlext SetllindowTextA 
A64612B1 . 6A DR H & | [Enable = FALSE a 


AAAA 2p CESE - iia ARN DHCU Mhine OTO ncsar.diacmaorm Ellie — ARANA E pa lenem CA i eee ARA Stoo 


JT + 


ri A —————— 
= SCHT AGL ZFRIG & SAS P^ 


‘Address [He 

¡6465650 41 45/53 = , d a ab EGESS 
¡66d63616/43 45 s 3 dos ee E - 54 45 E | CCESS SRANTEI 
mnadmzdsg.TD TA YE 64/69 (66 61 E a =] 

madmagad|zF rS GE T6 2E we d 216 E HE d 45 zB "unu. „About. 


uu ii 
0178125 
|nm4aa2n4mn|5B 23 24 5D 60 41 62 6F/75 74 BB EZ 5 2 BD | (#47. About. b 20008111 
Ba4B305B|Gl BB 71 49/38 739 7A 46/34: 74160 31 32 Bila.qiGseFdire Vë || Babee? 
| 88402060) 32 21 32 31/32 08 oa Cé Be 68 va ro | &l 21212 > ore ee: UE 


> pS L2 E - EB op d 664014820 RETURN to ECrackmes. 86461820 from 
DAD CD € fF 63 5H ebE| TC 6 dk j ñi rcli dt. per 
Beets ris Soo) 6o 31 09 pojal 66 op 66/60 op on B3 nO op Go Gool, 8. v || BcEBRECD 
JM ji , 


Command -| 
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Ahora sabemos que nuestra contraseña está almacenada en la memoria correspondiente 
a la dirección 40305D. 


Después de ser empujados estos dos valores en la pila, vamos a llamar a la rutina 
principal del proceso de registro en la dirección 401298 (sabemos esto porque es el CALL justo 
antes de la combinación comparar/saltar, cuyo resultado va a determinar si vamos a saltar al 
“good boy” o al “bad boy”). 


En la siguiente línea correspondiente a la dirección 40129D, EAX recibe la instrucción 
OR consigo misma (esto configurará la bandera cero dependiendo si EAX es cero o no). Saltará 
por encima del “good boy” si no es igual a cero: 





ES 24810600 























E CALL 
a6401230 OR EAX, EAS 
aa4al29F --FS LE HZ 
a64a812A1 62 BF304668 7 PUSH Text = "ACCESS GRANTED?" 
Baaa12nà FF35 8&28485 PUSH DWORD PTR OS: [463684] [nina = BBBABIS2 lelass="Edit" ,parent=00176128) 
a684812A0 ES CBBm2B8B8B88 SetllindouTezth 
a684012B1 6H Ba PUSH o Enable = FALSE 
A401263 d FUSH DWORD PTR DS: [402080] a = BBBABIS2 (elass="Edit" ,parent=0017B128) 
Baaoi2po ES senza Enablellindow 
BaadiBE EB ia 
Baaaoiaca 62 66304666 | PUSH Text = "ACCESS DEHIED*" 
DAD) ZCS Sl PUSH DWORD PTR DS: [463630] [hina = BBBABIS2 [class="Edit" ,parent-481761231) 
A4 CE ES acezeeee | CALL SetllindouTezth 


La rutina del registro que es llamada en la dirección 401298 va a poner en algün sitio un 
valor en EAX y una vez que finaliza la rutina devolverá EAX con ese valor a través de una 
instrucción RETN. Una vez de regreso al código de esta sección se procederá a comprobar si 
EAX es igual a cero o no, y si no lo es saldrá el mensaje del “bad boy". Así que tenemos que 


asegurarnos de que en este CALL de la dirección 401298, EAX valga cero cuando regresa de la 
rutina. Si logramos conseguir esto, será el Unico parche que tengamos que hacer a esta 
aplicación (conjuntamente con el parche para modificar la longitud de la contraseña). Pulsamos 
pues F7 para entrar en la rutina de registro en la dirección 401298: 






- [CPU - main thread, module Crackme6] 
[e] File View Debug Plugins Options Window Help Tools BreakPoint-> 










a6401421 PUSH EBF ^ 
EEEIEE HOL EBF, ESF t 
Baáni4za4 PUSH ECX userS2.TTD6FS8F 

Ggáni42t5 52 PUSH ED ntdll.KiFastSystenmCallRet 
a6401426 3309 “OR ECH, ECH user32. r FUSBPESP 

Ba4dl428 3302 “OR EDM, EDS ntdll.KiFastSystemCallRet 
DAD) 420 5645 DS Ha Ev, TARGI] 

DëA01 420 512401 67452 FXDOR DWORD FTR Dër CECK+EAXI, 1234567 

eadni424 262461 GE AND BYTE PTR DS: CECR+EAR], BE 

DAD) A2 3301 B4 

Baánl423E S3F9 as z 

a640143E 75 ED SHORT Cra : ] 

añdai44a 3309 MOR ECH, ECH users2. FFORFEEF 

60401442 21461 HOW OL,BYTE FTR Ds: LrECE-EBEJ 

Badai445 Bese as ADD BYTE PTR DS:LrERZ-21,DL 

Banda1448 41 INC ECH users2. 77O6F SSF 

aada1449 3640 AC 

Baaa144C TE E kme 

a640144E 3309 R ECX,EC userS2.TTD6FS8F 

DAD) AED 812461 OEBCS| rb DWORD PTR DS:LrECX4EHX,S9BBCDE 

46401457 262461 GE AND BYTE PTR DS: CECX+EAX], BE 

a640145E 3301 B4 ADD ECX,4 

Badoi4cE S3F9 65 CHE ECH, S 

EIST 75 ED HORT Crackme ai AE 

EIST 3309 “OR ECH, EC usepS2.TTD6FS88F 

a6401465 21461 HOW OL,BYTE PTR OS: CECH+EAxI 

a6401468 ABSA aes ADD BYTE PTR DS: CEA%+9], DL 

&B4Bn145B 1 IMC ECH useps2.TTD6F88F 

46401460 3640 ac CHF ECH, DARGIS RE, 

a640146F EF JAZ SHORT Crackmes, 10401465 

aasal4d et SASE Do MOL OL,BYTE PTR Dës [EA*+9] 

Baan1474 Sora DS HOU OH,BYTE PTR DS:rERE-8] 

EIST At 66:81FH DE42 CHP D8, 420E — 000 

ABS0147C GEO SEBEBOBO Crackmes. E 

Baámi4eo2 Ba B9BBBBBA | MOL ECH, S 

DAD) Ae 201461 HOW OL,BYTE PTR DS:rECE4EBET 

gaaaoi428Bn 321461 MOR OL,BYTE PTR DS:LrECE-EBREJ 

a64014S0 qa C SS > : userS2.T7TD6FS8F 

Baáni4sE 6r:E3 B2 ack met 

60401491 EB F4 F St mes 127 

EIST 66:SB45 n8 Sek Cx. WORD PTR DS: [ERE 81 

a6d014397 66:81F1 EEEE “OR CN, BEEEE 

EISE 66:81F9 ACE) CHP CN, 3600 

6a4a14A1 75 64 Hz SHOF rackmeé,.4801587 

a64a14A3 agas MOL CL,BYTE PTR OS: CEAY 

a684414A5 Senes mi MOU CH ¿BYTE PTR DS: EE)? 

Baani4n8 66:8101 9295) HDD CH, 3592 ME 
TA 




























Por norma general nos vamos a situar al final de la rutina, para averiguar qué 
condiciones tienen que cumplirse para que EAX sea igual a cero cuando alcance la instrucción 
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RETN. Situémonos pues en la instrucción RETN para ir analizando el código de abajo hacia 
arriba: 





- [CPU - main thread, module Crackme6] 


[c] File View Debug Plugins Options Window Help Tools BreakPoint-7 x 


Pase EEES ETE L[r[w|r|w|n|c|z|x] B[R|--[s] li? 


















Eadd1i4BF SHF2 DU SUR I DL, GA 

maag1 saca HDD ECH, d == 
Bede14c5 . | 83F9 ac CMP ECM,BC 

Baaatacs .^| FE FS JLE SHORT Crackmes, 664614BF 

Ae4014C48 . (8172 84 B2BF| CHP DWORD PTR DS: 

6461401 were S 





HOJ CL. 
“0% OL, CL 


66461403 . | SACA 
60461405 = | 2201 





Ba4ai4p? |]. Leon MOU DL, CL 

epsarigba ||. | 32CA HOR CL, DL 

am4mi4pB ||- | 8648 as HOW CL,BYTE PTR DS: [EOx+5] 

ms4ei4pE ||. | 8056 oe HOW DL,BYTE PTR Dës [EAX+6] 

Bm4ei4E1 ||- | 860i CHG CL, DL 

ee4eides ||. | SGFA BF CHP OL,& 

AB4G14ES || | 75 1F SHORT : 
ped4aides ||. | 86F9 80 = 
Bn4ei4EB |[|.-kr5 23 

an4mi4ED ||. |2078 as BF 

an4gBi4Fi1 || sel 75 14 

Goar ||. | 25 FRFFeeee 

agami4FS ||. | 66:33ce 

emáBidFB || -~| EB 18 

me4ai4FD ||? | SADi 

eG4Gi4FF ||. | 32cA 

60491581 . | Ba oi 

amj4ai5aa ||. | a4 28 

eadeises ||. ence 

amdeicscr |) > | 66:B9 9138 

anámiczeB ||. | 66:81F1 BDBF|XOR Cx, eran 

BG4G1S1G |> 5BB8 61660068 MOLU ERX.I ail | CES 
Gan ||» 58 POP EDX Crackmes. 86481290 
Genie ||. 59 POP ECH Crackmeé. 88481290 
Bn4aisi? ||. Ca LERUE 

an4micig |t. Ca 68009 8 

Bn4Bi5iB |p 55 PUSH EBP 

Bedeisic ||. SBEC MOU EBP, ESP 

Ba4Bi5iE ||. 51 PUSH EC users2, r706F86F 
em4mi5iF ||. SB45 ma MOL EAH, DARGENT 

pe4ai5s2 ||. 3305 WOR ECH, ECH user82.TTD6FBSF 
nesn1E24 || 5 863401 OF | MOR BYTE PTR DS: CECM+EAxI,5F 

pedaises ||. 41 INC ECH users2. P?D6FseF 
ep4a1522 ||. 34D mc 

oni |[.^ 75 Ee 

GG4GiS2E ||. 59 Crackmeé. 88481290 
6048152F 





. C9 
BESRISSe |t. C2 6806 
66441533 CE 


TA + 


wt 


Lo primero que queremos evitar es tomar el salto a la dirección 401510, ya que EAX va 
recibir el valor 1, justo antes de regresar (vemos el RETN en la dirección 401518). 


Si ahora subimos un poco en el código veremos el lugar donde EAX va a recibir el valor 
cero (XOR AX, AX) y el camino que hay que seguir para que regrese con ese valor a nuestra 
rutina principal: 





Dal at » 25 FFFFBaBmBa | AND EAS, AFFF 

Bamn4aldFaS » 6653308 OR Ars, Da 

BE4H14FB EB 18 

664014FD > | SAD1 OL, CL 

Be414FF | | 32CA CL, DL 

Dall , | Be äl AL, 

Bmn4a1583 , | Dé 28 AL, 28 

Dap) ED , | SACS CL, AL 

Dal ED A | 66:89 9135 CH, 3991 

Dap) 586 » | 66:51F1 HDBF Cx, BRAD 

Be461518 > | BS 61000666 EA”, l 

Be4H1515 ^ 58 ED Crackmeé. 66401290 
Bo4a81518 EE P EC» Crackmeé. 86401290 
Bo4a81517 = co LEALIE 

Be4H1515 , Ce asma RETH = 


Hasta aqui hemos visto los conocimientos generales que corresponden a un nivel 2 para 
crackear programas. Lo unico que faltaría por hacer es parchear la aplicación para que EAX sea 
siempre cero cuando regrese de la rutina. 


Subiendo al Nivel 3 
Una de las razones por las que nos interesa subir de nivel es para hacer por ejemplo un 


generador de claves. Y para ello necesitaremos una comprensión mayor del código que estamos 
estudiando. Volviendo al comienza de la rutina, empezaremos a parchear a un nivel SKILLED: 
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LEALE 





Be4e61410 

He4+6141E 15 

SERIE p 5 PUSH EBF 

aqal gzz E MOL EBP, ESP 

Ab4d41424 S ER PUSH ECXZ Usera. rróbFasF 

Ab441425 : PUSH ELI ntdll.KiFastSusztemCallRet 
Ab441426 : 3E AOR ECR, ELA users2.rrLDeFSsF 

E "I E AOR EU, Es ntdll.KiFastSusztemCallRet 
DDAHIAZHU |f. sb45 we | AOL EB, [| 

ASAT 4.20 2l24Hl1 Era SUR OWORO FIR OS: CECK+EARI, 1234567 

6441434 . | 262401 BE AND BYTE PTR OS: CECK+EARI, DE 

aqal 43S . | S3C1 Dé HDD ECs, 4 

HA4614356 . | SSF9 As CHF ECs, S 

HA4H1435E oops. [EU 

[raa 335 ASES BOR ECS, ELA sera. rróó6FeasF 


Al principio de la rutina vemos algunas instrucciones que empujan registros para crear 
el espacio donde almacenar algunas variables locales. Los valores en ECX y EDX son 
empujados en la pila para más tarde sacarlos y devolverlos a su estado original al finalizar la 
rutina. En la dirección 40142A el argumento local se mueve a la pila (es la dirección de nuestra 
contraseña) en EAX. Si nos fijamos en la ventana de registros veremos que EAX contiene la 
dirección 40305D, que es la dirección de nuestra contraseña. 


A continuación veremos la siguiente instrucción: 
XOR DWORD PTR DS:[ECX+EAX], 1234567 


Aquí añadimos ECX (que es cero) a la dirección de nuestra contraseña (que está 
almacenada en 40305D), y después cogemos DWORD (4 bytes) en ese lugar en la memoria 
para hacer un XOR con el valor hexadecimal 1234567. Como ECX es cero, añadirlo a la 
dirección de nuestra contraseña no va a modificar esa dirección. Resumiendo, cogemos los 
primeros 4 bytes de nuestra contraseña y hacemos un XOR con 1234567, almacenando el 
resultado devuelta en la misma dirección de la memoria, que es el comienzo de nuestra 
contraseña. 


Vamos a ver esto en acción; primero nos aseguramos que estamos detenidos en la 
dirección 40142D. Si nos fijamos en la ventana de la información veremos la dirección de 
[ECX+EAX] y su valor 32313231 (que en ASCII es igual a 2121” en Little endian): 


TT 





OS: C644434580]-=232313231 
Jump from Hl AE 


Hacemos clic con el botón derecho sobre la primera línea y seleccionamos “Follow 
address in Dump". De esta forma podremos ver la memoria donde está almacenada nuestra 
contrasena: 


DS: CHB48S6501=325315251 
Jump from DHA A2E Copy pane to clipboard 


Modify data 


Address WF : Lasers 
Gäert 43 43 45/53) (Folow address big) Pr access DENIED? A 





45/53 as 
e 43 43 45 p. 53 o ei e Ge ECHO 
BE4hSH2H) e YA YE 6A 69 ADDearance H SE 6B] Jet 71" +1 Ff ahee-Mnk 
BE48S838)2F rS 6E 76) ZEL PP ¢ 43 26| “anv. About. TOC 
BE48S848/56 23 34 50/60 £ D 5 JH GDL 6l 62 GC [#4]. About. blab l 
BA46SH58/61 Be ?1 49|38 73 FA 46/34 31 r2 r4 66 31 32 31|a.gISszF4dirt.121 
DoAD2pepl 52 31 32 HE) D 66 66 66/66 56 56H FA) PD EF 66 &l|212...... LUrztvta 
BaEdaAsara| rF TA YB 2F|?F 63 6A GEI "C 6A 21 66 66 66 44 Be) óázf-Óócintj*...E. 
BE46S838/9C 61 B? 66/61 66 66 66/66 66 66 66 D D D D) ER, Be 
BE46S098/ pp pp 66 Dp pp 66 66 66/66 66 DD DD DD DD HA DÉI ...oooooooom.ooo 
BE46S0A8/ 66 Be 66 66/66 66 66 D H? BE El BB a a H? Ba MESTRE CM 


rara Aaa PA sana OCH OH Oci ara gara rara Cara! va 


< T n emm > 


http://masteracsi.ual.es/ 


| > 


ii 





Gs 


|& 


Ahora la ventana Dump nos muestra la memoria comenzando por la dirección 40305D. 
Podemos ver los primeros 8 bytes de nuestra contrasefia. Y si recordamos la línea de código que 
estamos analizando lo que va hacer la instrucción es coger los primeros 4 bytes en esta dirección 
(31,32,31,32) y aplicar XOR con 0x1234567, almacenando el resultado devuelta en esta 
dirección de la memoria. 









Address 
Hadnmsa5pn|31 32 31 32 31 32 46 66 np ma ng Dp 56 6H TA rTDll1ziziz...... 
A4daSas o 
[amar a e 
HH4HSHS0I HA DR HH Ba HH Be BB D BB D BB BB BB DI H DÉI Le eeeeeeee eu w 
Bamdmzmop|mnmg 66 6 D 66 66 66 D DD D 66 D DD D HÖ AB ccoo 
HH4HSHAI HA DR 66 D 66 D 66 D 66 D 66 D DD DÉI DD DÉI Le xn 
64434650166 66 66 DR 66 DÉI BB BB DD DÉI BB DÉI DD DÉI HD Bl... xn 
B644asaco AA 66 6 66/66 66 AA 66/66 66 66 HA AG 66 aad DÉI. sees eeee oo. .... 
6443600166 DR 66 66 66 D 66 D 66 D 66 D DD DÉI DD Baldi... 4n 
HH4HSHE0 BH Be HH Be BB DÉI BB DÉI DD DÉI DD BB DD DÉI H AB... ooo ooo x x 
padasar O EE EE 


nara Cat 


4 T 


Pulsamos F8 y veremos cómo los primero 4 bytes de nuestra contrasefia han cambiado, 
debido a la instrucción XOR con 0x1234567: 


- [CPU - main thread, module Crackmeb] 





[c] Fie View Debug Plugins Options Window Help Tools BreakPoint- 
i| 44 X^ Kl SE) E] | oa AHH 
660441410 a E LEAVE 













HE4H141E . Ce 14866 1H 
Hga4d1421 5 55 PUSH EBP 
be461422 » SBEC MOL EBP,ESP 
be4h1424 » Bl PUSH ECA 


468441425 » be PUSH EDA 
68441426 . (3352 ADR ECS, EL a 
GEN wl MOR ED. EDs 














HAL 4A . %SB45 D MOL EAS, Crackmeé. 664483450 
SES + 9813401 6 AUR DWORD PTR OS: CECK+EAS I, 1234567 
4143. . Ssh24e1 BE AHO BYTE PTR OS: EC aal, BE 
901 Dé HDD Elx, 4 
. SSF H8 CHP EL a, E 
B646143E ES E 
004601446 "Er E MOR ECS, EC 
004601442 + 2A1441 MOL DL, BYTE PTR OS: CECK+EAR I 
004601445 . HHH HS HDD BYTE PTR OS: IER), OL 
00401445 . 41 
00401449 . SB40 DL 
04601440 .^ fo F4 
DHA 44E « E MOR ECS, EC: 
0461456 + 213461 DEECS|PXOR DWORD PTR DS: CECK+EAR], S9ABCDE 
60461457 . SH2461 BE AHO BYTE PTR OS: CECK+EARI], BE 
0461456 . 2301 H4 HDD Elx, 4 
046145E . Soro D CHP ECX,3 
0461461 = rG EB 
604601463 e oea MOR ECS, EC 
60461465 + 2A1441 MOL DL, BYTE PTR OS: CECK+EARI 
0461465 Basa q HDD BYTE PTR OS: CEAK+9),0L 
TT 
os: [E 











Hadas 
DHA 26) 
BE4HSErD) DR 46 66 9C 61 dH? 66 61/66 66 66 dB 66 BB DH DI, 9, ED: Be 
HE4HSEHSD) DR BE 66 66 66 66 66 BH HH 66 66 dB BB BB DH BB wee 
HESESESD) DR BE BB 66 66 66 66 66 66 66 66 HH BE BB DH BB lll... 4 n n n n nn 
HE4EHSHHD) DR BE 66 66 66 66 66 D DH 66 66 dB BB BB DH BB llli 4n n nnnm 
HESESHED) DR BE 66 66 66 66 66 66 66 66 66 dB D BB DH BB ccoo 
BE4ESHCD) DR BE BB 66 66 HH 66 66 dB 66 BH dB BB BB DH BB ccoo ny 
b644s4D00/] DR BE BE 66 66 66 66 66 dB 66 66 dB D BB DH BA ccoo ny 
HE4ESHED) DR BE HH 66 66 HH 66 66 dB 66 66 dB D BB DH BB ccoo ny 
HHH HE EE 66 66 66 66 66 66 66 66 66 66 D BB DH BA ccoo 


cir Fara Maira Maira COOC COOC rara COOC Cara. ara aña “aña rara Yara gura gura riña 


zip) * 


I 
LL 
o 
H 
mm 
yl 
yl 
I 
Im 
x 
LL 
= 
E 
m 
I 
on 
D] 
= 
Im 
Ia: Jä 


4 


Continuamos estudiando el código en la línea siguiente. 


AND BYTE PTR DS:[ECX+EAX], OE, 
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Sabemos que [ECX+EAX] corresponden a la dirección 40305D, que es la dirección de 
nuestra antigua contraseña. Ahora cogemos un byte de esa dirección y le aplicamos la 
instrucción AND con OxOE. El resultado volverá almacenarse de vuelta en esa dirección. 
Veámoslo en la ventana de información: 





- [EPU - main thread, module Crackme6] 


File View Debug Plugins Options Window Help Tools BreakPoint-> 


T|W|H|C|/JKJB|R'--J8] zeit 


LEALIE 


RETA 16 
PUSH EBF 
MOL EPP. ESP 
































; PUSH EC! 
pa4nidz5 i: Ee PUSH EDM 
Bade A2 Ll: 3309 WOR ECH. ECM 
66481428 D Sen “OR EDH, EDS 
6646142 . BB45 Gë HOW EAX, TARGATI Crackmed. 00483050 
aaa 420 > 513401 67452 208 DWORD PTR OS: CECK+EAxT, VIE? 
ELICIEET! . 862481 8E AND BYTE PTR DS:LECETEBERT. GE 
46461438 Bari B4 ADO ECM, A 
66461436 . B3F9 B8 CHE ECE 
BB4Bl43E PRESEN 
EIST E epa "DR ECH, EC 
66401442 > BA14A1 HOU DL. BYTE PTR DS: CECR+EAX] 
60461445 . GSG a5 ADO BYTE PTR OS: CEAx+87, DL 
60481448 p xl INC EC! 
Ba4a1449 . SB40 ac MP ECH 
604681440 E F4 3 
Bade i44E . Sacs | 40R EC S 
60461450 > 813401 DEBCO FXÜR DWORD PTR OS: CECX+EAXxI, S9ABCDE 
66481457 262401 GE AND BYTE PTR OS: CECH+EAX1], GE 
66461456 Baci B4 ADO ECX.4 
6646145E . B3F3 B2 CHP ECH. & 
66461461 je PE ED HZ SHORT Cx e, 45 
66481463 e. 3309 “OR ECH, ECH 
60481465 &ni481 HOW OL. BYTE PTR DS:LECE«EREJ 
66461465 . bebe 69 ADO BYTE PTR OS: [EA%+9], DL 
UL N 
0S: [Hd 1-56 WU") 
Lond ASCII A 
APO Uwal... DE — 
CET q. SEIT 2B oF Se ES Gë GE Se En 21 Ge DÉI -fañzlrócintit. : 


FESR ciee 46h B6 9C Hl B? 66 61/66 66 66 66 66 BB DB BB .8.£5B]-.0........ = 
DATT) pa 
BE4ES690) 66 mBa 66 66 DU 66 66 66 BB 66 66 66 Ha BB BB DÉI nn 
664835680] 66 ma 66 66 BB 66 66 BH BB 66 D 66 BE BB BB BB we 
HaşASHE0| ab ma 66 66 DU 66 D D DH 66 DH 66 D DU BB Bl l.l... nnn 
00483000] 66 BB pa BB GB BB BB op BB DB BB BB op BB DB BA lii. cianie 
GaaemsmpD|ma 66 66 668 66 66 66 66/66 66 66 66 BE BB D BE) ccoo 
BE4E SHED) BE 66 66 BE BB 66 BB Bg BB BB DH D BB DH BB BA l.l... nn nmm 
HEET BB 66 BE DD 66 66 66 66 66 BB Ha HA BB DB BB DÉI .........1 1 vt 


A m4 anl rara Fara dura rara dara gara vara gara gara aura dara Yara rara rara rura 


€ | * 





Vemos que la dirección afectada es 40305D y que el valor actual de esa dirección es 56. 
Pulsamos F8 y vemos como vuelve a cambiar el primer digito: 
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- [CPU - main thread, module Crackme6] 


[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 
Er 44 X| KI bid xls o EAE 
EA LEAWE 





















66481410 


BE46141E Ce 1668 1" 
6481421 S 55 PUSH EBF 
e SBEC MOL! EPP. ESP 
zu PUSH EC 
Se PUSH ED. 
3219 AOR EL a, Els 
» 3302 AUR EDS, EDs 
SB45 D MOL! EAR, Crackmes. 16483850 






CARG. 11 
ROR DWORD PTR OS: CECK+EARI, 1234567 
AND BYTE PTR DS: CECK+EAX], BE 


> 813401 67452 
2082481 BE 

































SSEISLER . 2301 84 ADO ECH 4 

SEILER . 8SF9 n8 CHP ECH. & 

a64a0143E .^ 75 ED 

46441444 . 5503 “OR ECH, ECH 

a64a1442 > 2A14a1 MOL DL.BE*VTE PTR DS:rECE-EREJ 
an4a1445 . BASA a8 ADO BYTE PTR OS: CEA%+2]. DL 
an4a1448 . 41 INC EC} 

46441443 . B40 GC CHF ECH 

60441440: .^ 75 F4 Bib 

a644144E . 5593 HOR ECH. ECH 

46441454 > 2123461 DEBCS| FOR DWORD PTR DS: CECX+EAx], S9ABCOE 
DAD AE . 882401 GE ANDO BYTE PTR OS: CECK+EA%], GE 
aan4a145E . 2301 84 ADO ECH. 4 

aa4a145E .  Gäta a8 CHF ECX,.& 

46441461 .^ 75 ED 

46441463 . 559 HOR ECH. ECH 

46441465 > 2A14a1 MOL DL.E*VTE PTR OS: CECR+EAXx] 
Ban481468 . Baca es ADO BYTE PTR DS:rEBz-31.DL 

= | iui 


EL app 


664484850 
644834860 
BE48S870 
644834850 
66483890 
BE4eS8A0 


BE4ESHE0 
Bands 
46486800 
BE4ESHE0 
BE4+ES8F 0 


Pare a can 


ea im 





Ahora sabemos que el resultado de aplicar la instrucción AND a 0x56 y OxOE es 0x06. 


A continuación ECX se incrementa en 4 (para apuntar a los siguientes 4 bytes) y es 
comparado con 8. Esto significa que este loop se va ejecutar dos veces — la primera vez ECX va 
a ser igual a 4 y la segunda vez 8, después salimos del loop. En total vamos a manejar 8 bytes de 


código. Pulsamos F8 y aparecerá el segundo par de 4 bytes al que se le aplica la instrucción 
XOR con 1234567: 
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- [CPU - main thread, module Crackme6] 


[e] File wiew Debug Plugins Options Window Help Tools BreakPoint-> 






am481421 
GESKGME E 
GESKGME 
GESKGME 
46441425 
6481423 
Be4614240 
664481420 
6481434 










464414SE 
66461446 
66481442 
66481445 
68481445 
6481449 
Be4e144C 
HE46144E 
464481454 
6461457 
6646145 
He46145E 
668401461 
684081463 
468481465 
4684481465 
66401466 
668441460 


TT 


ee ee s s ng dir 


LI E LU WAR LI 
A A 


SR 8 


= ~ ÊE E E 8 





ex déi SI SI e kal alt ai EH 
PUSH EBP 
How EPP. ESP 
PUSH ECA 
PUSH EDR 


ADR Els, ECA 
3302 MOR EDs, EDs 






















55645 øg MOL ERX,EBRG. 13 Crackmeé. 6463650 
513401 ér452|rXüR DWORD FIR Ds: [ECX+EAX], 1234567 
s62461 GE AND BYTE PTR DS: CECK+ER#], GE 

SSCi 84 ADO ECH, 4 

esra ag CHP ECH. S 

r5 ED Bib 

3303 “OR ECH, ECH 

201401 HOW OL,BYTE PTR DS: CECX+EAXxJ 

Bass as ADO BYTE PTR DS: CEA#+2], OL 

41 INC ECH 

3840 ac CHP ECH 

75 F4 HZ 

3309 HOR ECH, ECH 


13401 DEBCS 
saz4b1 HE 


ADR DWORD PTR OS: LECs+EAA], SSHECOE 
ARO BYTE PTR DS: TEL aal, BE 












2301 B4 ADD ECH. 4 

Bara BS CHP ECH, S 

75 ED 

2309 HOR ECH, ECH 

201401 HOW DL. DATE PTR Dës CECK+EAx] 
BASA BS HDD BYTE PTR DS: LERE-91, DL 
41 INC ECH 

SE4D BE CHP ECH. FER 


OS: Coe4eS661I1=56 ('U') 


ASCII 


amma 
6483660 
amma 
4844854850 
146483890 
4848680 


amas 
64880 
68486800 
amma 
Ba4BSBFD 


ea Adrad A 


s] 


Be ff Za BI TD) *ut2ldB....u'z 





El quinto byte también cambiará al aplicarle la instrucción AND con OxOE. 
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- [CPU - main thread, module Crackme6] 





[e] Fie View Debug Plugins Options Window Help Tools BreakPoint-> 
3 Ad X| kill ee | s lg 








Bede de 







am481421 F 55 PUSH EBP 


SBEC MOL EBF, ESP 






































6401424 5 PUSH EL a 

64441425 E PUSH Ela 

6044146 33CA AUR ECR, ECR 

44481425 3302 ADR EDs, EDA 

Be4e142A 5645 oC MOL EAS, Crackmed, Badia 
644681420 2134681 6r452| Pp 4D0R DWORD PTR OS: CECA+EAA], 1234567 
64441434 soa2401 GE AND BYTE PTR OS: CECA+EAHI], SE 
60441435 301 B4 HDD EL a, 4 

44461436 »  o3F3 Be CHP ELE, 

Hd AE te ED 

4401446 A! AUR ECs, ECA 

644481442 > 2A1441 MOL DL, BYTE PTR OS: LE aal 
60441445 Basa ms HDD BYTE FTR DOS: CEARK+S], OL 
44481445 . 4i 

644081449 » 43B4D BL 

Dap AAL fe pu 

HAL AAE BE ob ECA, EL a 

60441454 > 213401 DEBDCS|pPADR DWORD PTR OS: CECK+EASI, S9SABCOE 
44481457 » S241 HE AHO BYTE PTR Dës CECK+EARRI], SE 
64461456 =- ZCI B4 HDD ECR.4 

Dap AE ,  GoG3F3 Be CMP EC, 

64441461 oo rS En 

60441463 SS SOR ECR, ECR 

44481465 >  5A1441 MOL DL, BYTE PTR OS: [EC++EHa 1 
64481465 , HDD HF HDD BYTE PIR OS: CEAK+9], DL 
64461466 » 41 INC ECH 

64448146 » 3E4D BC CMP ECs, DARGEI] 

lu 


ECM BEBRERES 


ASCII 


amma 
agmen 





Después de este loop nos encontramos con la siguiente instrucción en la dirección 
401440, que resetea ECX a cero. 


Pulsamos F8 para situarnos dentro de la siguiente rutina en 401442. 





> paSHidBil HOW DL, BYTE PTR DS:LECATEBHA 
aa481445 Baba aa HDD BYTE PIR DS: CEA&+8],0L 
jaghli gts 41 IHC ECs 
aa481449 = |3B4D AL CHF GE ETT 
BE461440 ^-?5b F4 Bi 


Primero moveremos nuestro primer (nuevo) byte de nuestra (antigua) contraseña en DL 
(como ECX vuelve a ser cero, sabemos que estamos manejando el primer digito, o lo que es lo 
mismo hacia donde EAX está apuntando). Si nos fijamos en la ventana de registros, veremos el 
primer byte (0x06) en el registro EDX: 


Registers (FFU) 





EAN BEMEBSEED Crackmes. BEABSESD 
ECH BüBaBea) 

A 
FEY BOBBBBAS 

ESP BO12FED6 

EBP BO12FEBS 

ESI BE4BiB2D Crackme6.BB4BiB2D 
EDI BeizFBBB 


EIF 86461445 Crackmes, 168441445 


A continuación añadimos ese dígito a DL con [EAX+8], o lo que es lo mismo el octavo 
byte contado después del principio de EAX, volviendo ser almacenado en la posición octava. 


DD m || ADO BYTE PTR OS: CEAK+8), DL | 
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Aqui podemos ver el cambio de ese byte: 





Ae4e20C D ee 
64446400) 66 66 66 66 66 66 66 66 DD 66 66 66 66 BB BB BB Le 
OAI 66 66 66 66 66 66 66 66 66 66 Hö DÉI DÉI DD BO dy) Le 
ARAdASAFNI AA AA AA AA AA AA AA AA AA AA AA AA AA AA OAR AA... -- 


A continuación incrementamos ECX en uno y lo comparamos con la longitud de nuestra 
contraseña. Iremos pasando por todos los digitos de nuestra contraseña, añadiendo el valor de 
cada digito y almacenando ese valor en la octava posición. Según vayamos pulsando F8 
podemos ver como va cambiando la memoria: 


Address [Hex dump ee LS 


BEdBSASO be vr 12 33 Bé rr 23 Hl SF 66 66 öö 56 68 rH rD|*ut2euwia...l'"z) 
4484434860 55 E bs 6H GE YC 6A 21 BB BB -fabeti-«Ócinitit.. 
OU Be 46 DR dE 81 BE BH 61 66 66 66 DD D D BB D, IS, HOA. D. ener 
BESESESD) 66 66 668 66 66 66 DU 66 66 66 66 66 BB BB HA BBd|.........r rr nn 
BE46S890\ 66 66 66 66 66 66 66 66 66 66 66 D BB DD HA Bd... 1-0 xc 
64464840) Be 66 66 66 66 66 DU HB 66 66 66 66 BB DD HA B| ...oo ooo. ..... 
BESESEED) BE 66 BE 66 66 66 DU 66 66 66 66 D BB DD HA B| ...cocoo oo. ««.«.. 
OI BG 66 66 D D 66 66 66 66 66 D D BB DD HA BG) .........1] 2c 
644684800) Be 66 668 66 66 66 DU DD 66 66 66 66 BB DD HA BB ...ooo ooo. ..... 
BESESEED) BE 66 BE 66 66 66 DU 66 66 B) 66 D BB BB HA BB ...coo ono. «<<... 
ARERR) AR AR AR AR AA AA AA OAR AA AA AA AA AA AA AA AA! ..........-...- 


im] > 


| ili) || > 


|4 


Una vez finalizado el loop volvemos a poner ECX a cero y entramos en otro loop 
similar al primero. Esta vez se aplica la instrucción XOR a cada conjunto de cuatro bytes con 
0x89ABCDE. 





DDT 44E : 3309 VOR ` EC ax ECA 

> 81344641 DEBCO Path DWORD PTR OS: LECETEHXR 1, S2HECDE 
46441457 . | 202461 HE ARO BYTE PTR OS: CECHK+EAsI, BE 
46441456 . (8201 B4 ADO ECH, 4 
4644145E SSF9 D CHF EC, S 
mm4ni4e61 |[.^-75 ED JNZ SHORT Crackmeg. 00401450 


Volvemos afiadir todos los bytes para almacenar el total en la posición del noveno byte. 
Este proceso continuará hasta que ARG.2 sea igual a cero, donde ARG.2 representa la longitud 
de nuestra contraseña. Este conjunto de instrucciones va correr 8 veces, una por cada dígito de 
nuestra contrasefia. Una vez pasado por el código podemos observar el resultado final: 






E ^ 
He46S650/ AS CB $8 SB) 48 CB B9 69| 3F(6s)es op 56 64 TA vrD|Ehre:Ehnl . acd — 
DRAD2pG 2F 66 61 PF) 7A rE 2F FF) 6S BH GE rC 6H 21 66 HI, dile. = 
B4844854870/ 66 op 66 4E| 81 B5 66 61 66 66 66 66 BB 66 66 Be) 8, HOA, D. ee E 
BE46S830| 66 66 66 66/66 66 66 66 66 66 66 D 66 BB HA B)d|......... nnnm 
4484434820/ 66 66 66 66/66 66 66 66 66 66 BE D D BB BA BA | ....oo ooo ooo... 
BE46S8H0) 66 66 66 66/66 66 66 66 DD 66 66 Bd DH BB dB B| ...ooo ooo mo .... 
B484454860/ 66 66 66 668/66 66 66 66 66 66 66 DI D BB DD BE) ....oocooo oo. «<<... 
44844>48C0/ 66 66 BE 66/66 66 66 66 66 66 D D D BB BA BA | ....oo ooo mo .... 
6484454800/ 66 66 66 66/66 66 66 66 66 66 66 D DH BB dB DÉI ...ooo ooo mo nnm 
BE46SHE0| 66 66 66 66/66 66 66 66 66 66 66 DI D BB BA B)d|.........r nnnm - 
HH amHSHFI AR AR AAR D AR HEB D Dä AR AA AA Dä AR AA AA MAA LL... —- 


Tm] | > 
Resumimos lo que hicimos hasta ahora: 

1. Hemos aplicado XOR a cada conjunto de 4 bytes de nuestra contraseña con el valor 

hexadecimal 12345678 y almacenado el resultado de vuelta en la parte superior de 


nuestra contraseña. 


2. Aplicamos AND sobre el primer digito con OxOE, así como el quinto byte. 
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3. Luego sumamos los valores de todos esos bytes para almacenar el resultado en el octavo 
byte. 


4. A continuación aplicamos XOR a cada conjunto de cuatro bytes del buffer con 
Ox9ABCDEF, y almacenado el resultados de vuelta al buffer. 


5. Volvimos sumar los valores del contenido del buffer para almacenar el resultado en el 
noveno lugar de la memoria. 


El siguiente paso consiste en cargar esos dos valores (el sumatorio de los contenidos en 
la memoria del buffer), uno en EAX+8 y otro en EAX+9 dentro de DL y DH, haciendo que 
EDX sea igual a 3F69. Luego comparamos ese valor con 42DE: 





. SHEE H3 MON DL.B'YTE PIR DS: CEAAt+9] 
46441444 . SHre H3 MOL DH, BYTE PTR DS: LEHRsTS] 
aaaa1477 . 6&6:51FA DE42| CHP OX, 420E 





Registers (FRU) 


ERK Bees Cracknes. 00403050 
Y napaaBaE 
EDX BOBBSF6o - 
FEY Baa 
ESP BB12FBBB 
EEP BB12FBBS 
ZI 6848182D Crackmes. 86401820 
EDI B812FBB8 


EIF BdiBld?? Crackmes,. HA461477 


Como ambos valores son distintos tomaremos el salto en la dirección 40147C, lo que nos lleva 
al *bad boy". 
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- [CPU - main thread, module Crackme6] 





c | Fie View Debug Plugins Options Window Help Tools BreakPoint-> 
EH S+ aal | 9 


4444141 
DAD Ada 
HAT Add 
SISERSRESS 
Dap) A 
DAD TL Ae 
Dal du 
444481450 
bE46145E 
44401491 
Dal d 
DAD TL A2 
4440149. 
b444814A1 
Dap) dn 
DAT 4AE 
GISENSAKIES 
Dap) ad 
DAD Ab 
Dal dPA 
Dal db 
DAT AP 
Biaddg14BF 
Dap) d 2 
Dap) ad 
DAD TL AL" 
Be4+814C8 
444481401 
DAT 403 
4484481405 
44481407 
DAT Al 
DAT 40E 
Dap) 40E 
BE4+H14E1 
bE4H14ES 
Dal dE 
Dap) dE 
DAD 4EB 
Dal AED 
BE4H14F 1 
BE4+H14F3 
DAHL AF 


1110 


A no ser que cambiemos el valor de la bandera Z con lo que EAX no va tomar el valor 


[| 44| X 


Hass mu 
41 

SB40 BC 
rb F4 
aH5H D: 


SAFE D 
&G6:81FH DE42 


HDD BYTE PTR DS: CEA++29], DL 
C ECR 


MOL OL,BYTE PTR DS: LEHSsT3] 
HOU DH, EYTE PTR OS: CEAK+EI 
CHP Dz,42DE 


DES SEHE IN? 


ES mamma 
241441 
321441 

43 

er:ES B2 

EB F4 

66: 3643 BS 
66:51F1 EEEE 
66: 21-93 HC3B 
rb 6d 

SHAS 

SHES Hil 
Be:8101 9235 
G6:8lF9 SHES 


ro 43 

2135 HEBRS1? 
rb 46 

66: 3319 

OF 2 BA 


rb 23 

ORG HS BF 
rb 14 

25 FFFFBBBdB 
66: S308 


MOL EC, 9 
MOL DL, BYTE PTR OS: CECH+EAs] 
AUR OL,BYTE PTR DS: LECRSTEHS 
DEC Ete 


MOL Ca, WORD PTR DS: LEHSTS] 
AOR Cea, BEEEE 
CHP Cx, S8AC 


MOL CL, BYTE PIR 05: CERI 
MOL CH, BYTE PTR OS: CEAK+1] 
HDD Ca, 25392 

CHP Ca, BESSA 


CHP DWORD PTR ea "` 


AUR Ce, Ce 

AUR OL, D 

ADO ECH, 4 

CNP ECH, AC 

JLE SHORT Crackmed, D04014BF 
CHP DO) PTR OS: CEAK+4], S880BFH2 
JNZ SHORT Crackmed, 86401516 
HOL EL, OL 

AOR OL, CL 

MOL D, CL 

ab CL, DE 

Hol CL,BYTE PTR OS: LEHST5] 
HOL OL,BYTE PTR DS: East 
ACHG CL,OL 

CHP OL, DE 


CHF CL, 20 
CMP BYTE PTR DS: CERA++5], BBF 
AND EAs, SFP 


“OR AM, DN 


ly la función se parará inmediatamente: 
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- [CPU - main thread, module Crackme$6] 
[c] File View Debug segs Options Window Help Tools EreakPoint-=> 


DAT AG :[ERE*21, DL 
aadni46Bg C ECA 


SE 
aadaidec ||.. 3640 BC HE CH l 
ma4ai4eF ||.^ v5 F4 
| BGABT4T1 . BASA B3 MOL OL, BYTE PTR DS: CEAY+9] 
ag4gided ||. 209 es HOU OH. BYTE PTR DS: CERR+8] 
an4ni4z7. ||.  &e:siFh DE42 zu. 

.e2BEB5 BEBO) : of 
Gäns ||. |B9 gsegooeg | MOL ECs, 9 
MOU OL. BYTE PTR DS: [ECX+EA%] 




















































Abed ST > [301461 

GBa4B8145h . 1321481 “OR OL. BYTE PTR DS: CECX+EAX] 
ga4a148D . |48 DEC ED» CEDAT 
| BGi4B 148E . |67:E8 B2 E 

06401491 .^|EB F4 IMP SHORT Crackmed. 66401497 
66441433 > |éé:BE48 pe | MOL CN. WORD. PTR DS: [EAX+8] 
aada1437 &6:81F1 EEEE| XOR CX,BEEEE 

AB4H149C . |66:31F9 ACSO CMP CH, 380€ MAL 
Ba4m4n1 verb SHORT Crackmes. 00401507 
Ga4814n3 . | BRE CL, BYTE PTR OS: CEA 
|064814A5 SA CH,BWTE PTR DS: [EA%+1] 
664014658 ÉÉ: CN, 3592 

Baamt4nn . | 66: 

Er jw TE 

ag4n14Ba4 adi 

A64414BA a5 d 

Ba4m4BC . | &&r saco 

GaG4B14EBF > | emF2- mn 

Baai4ca . | 881 84 

lag4a14cs . | SSF9 ac 

pa4ni4ca >| 7E F! 

Ba4814CH . | 8178 04 B2 

aa4n14Di RS. 3B 

6481403 . | SACHA 

Ba4m4ps . | 3201 

66481407 . ADI 

Bag14ns . | SecA 

|664614DE . 1842 as HOW CL. BYTE PTR OS: CEAx+S] 
Ba4dt4DE . |056 06 MOU DL, EYTE PTR OS: [EA%+6] 
AG4A14E I . | 8601 #CHE CL DL 

aa4n14E2 . | SFA BF CHF DL, opp 

464414E6 wel rS TF Hz SHORT Cracknes. 00401507 
Ba4mI4ES . 88F3 op CHP CL, re 
GBG4B814EB ge 25 SHO ackmed. 8481518 
| BG4814ED ; 897 as BF | CHP BYTE : 

| Bad 14F 1 "xS p SHORT Crackmed. 884 
Ba4di4Fa . | 25 FFFFaaaB | AND EAH, 

Ba4814F8 . [6613306 “OR AX, AX 

TA 





Lé 


amdasasp 
EE 
BEBESFES 
slais elata] 
DL ZF BRR 
BalsFBHo 
66461020 
Bal2sFBaB 


464414710 


ES #823 
CS adip 
55 H023 
OS m3 
FS BHSE 
GS BeBe 





LastErr 
BEBO? 


empty —4. 


| Er] x 


x[xpwprpw[m[e[r]x|s|m[-]s] En? ME 


A | Rea isters (FFU) 










Crackme&. EEN 


Crackmeé, 6646815820 


Crackmeé,. BH4H1470 


S3ebit nrtFFFFFFFF? 
22bit BCFFFFFFFF) 
32bit BLFFFFFFFF) 
32bit BLFFFFFFFF1 
32bit rFFDFaamiFFF1 
HULL 


ERROR_SUCCESS (opp 
(HO, Ey Ex BE S, FE, L. LE 
21644696538 2622 948 


empty -liMüRM E654 mammam Bz 
empty —LIMORM ESAC DDT BE 
empty -LMNORM E624 ABBR Sz 
empty r.56llB2l2rü5,7565551rrhet 


empty 5, 


9415553314058 50569 ie 


empty D, POBRE 
empty B. "e ` E 


1 Ee 


= F 
4626 Cond i B B a Err H 8 1 
BerF Prec HEBR,53 Mask 1 


A continuación cargamos ECX con 9 para acceder al digito noveno de nuestro buffer, 
mover el contenido de esta novena posición en la memoria dentro de DL, aplicar XOR consigo 
mismo (para que sea igual a cero), decrementar ECX en uno para situarse en el lugar anterior, y 


repetir todo esto nueve veces: 


HAT d . B3 mma | MOL EC, 





> pasHli4dBl MOL OL. BYTE PTR DS: LECRTEBS 7] 
Dap) dn . | 321481 ADR DL,EYTE PTR DS: CECK+EAHI 
Dap) dl , | 49 DEC Ete 
Dap) dE er:ES B2 
Dap) dl .^MEB F4 


EI 


Después de salir de este loop lo primero que hace es cargar ECX con el sumatorio que 
hizimos anteriormente (0x2C en la posición novena de la memoria y 0x84 en la posición 


octava), hace un XOR con OxEEEE y lo compara con 30AC: 


46441491 .^| EB F4 L 
A ÞG: GPA BS | AOU C, WORO PTR OS: [ERA+5] 

468441437 » 66:51F1 EEEE| SOR Ca, BEEEE 

644149. .  66:51F9 AC36| CHP CK, 200 


Bn4nl4ni Le eee JNZ SHORT Crackme6.B8B4B1507 








BE48145E . [ÉB F3 Be 








Como ECX es igual a 87D1 tomaremos el salto en la dirección 4014A1: 


Registers [FFH] 


DEEL cu — 
SES Lrackmep, BE46S650 


EBs BREREEEE 
ESF 8812FER8 
EEF 44612FEAS 
ESI 66461620 Erackmeé. 16441420 
EDI amui2FBS8 


EIF 86461401 Crackmes, 664614A1 


Hasta donde ECX vuelva a ser igual a uno: 
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- [CPU - main thread, module Crackmeb] 





c | File View Debug Plugins Options Window Help Tools BreakPoint-> 


Daul 42E 
ba461491 
44401493 
4401437 
HAT A2 
44441441 
Dap) An 
DAD AUDE 
Daul A 
Dap) al) 
DAD 1 ADR 
Dap) 464 
Dap) AU 
Dap) AbDL. 
Daul Abt 
DAD AL 2 
44461405 
Dap) AL 
DAD AL H 
644681401 
44481405 
DAD AUDE 
444601407 
444481409 
668441 40E 
Dap) 40E 
b440814E1 
Dal AE 
Daul AE 
DAD AE 
Daul 4EB 
Dap) aAEI) 
Be4614F 1 
BE4+H14F3 
Dap) AF 
DAD AFP 
GISENSMEISA 
Dopla4FF 
66844151 
440154 
Dap) GE 
SES 
Daul GE 
nada1518 
644681515 
BE461516 
Bad81517 


élu 


KU Ste zl | a 
¿ES nz B 
F4 


2158648 BS | AOU Ce, WORD PTR DS:ELEBRsES] 
Gs GIEL EEEE| sOR Cx, HEEEE 
Krieg ACE) CMP Cx, S8AC 


MOL CL.BYTE PIR DS: LEBR 
BABS Bi HOW CH,BYTE PTR DS: CEAK+1I 
B6:8101 9235) ADD Cx, 3592 
B6:31F9 SHEB|CHP Cx, GESSA 


75 49 HZ 
S138 9860817 CHP DWORD FTR OS: [EA], rasibees 


leis sm m ADR Ca, La 

GEIF 2 BA ADR DL, Dn 
HDD EC, 4+ 
CMP ECs, HL 


OWORO PTR OS: CEAK+4), 258DBEFG2 
JMz SHORT Crackmeé. 00401516 
CL. DL 
DL, CL 
DL, EL 
CL, DL 
CL,BYTE PTR DS: [EAxX+5] 
MOL D. DIE PTR OS: [EAX+6] 
“CHG CL, DL 
CMP DL, GBF 


PE 1F Hz 

CHF CL, OD 
75 28 JMZ SHORT Crackmeb. 00401510 
SE BF CHP BYTE PTR DS: CEAK+5] , HBF 


25 FFFFeeeq | AND EAX, BFFFF 
Eu. DN 


so 9135 
66:51F1 ADAF 
E aimaanad 


Ste. 
Co 





ntdll.RiFastSystemCal LF 
ntdll.Rifastsustembal If, 


> 


Esto es básicamente la segunda comprobación de la contraseña. Y como no queremos 


saltar cambiamos el valor de la bandera Z para seguir ejecutando el código a partir de la 
dirección 4014A3. 


Las dos siguientes instrucciones mueven el primer y segundo contenido de la memoria 
correspondiente al buffer de la contraseña dentro de CL y CH, lo que hace que ECX sea igual a 
8708. Luego se añade 3592h y se compara con E59A. Ahora ECX es igual a 9A por lo que 
tomaremos el siguiente salto: 
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- [CPU - main thread, module Crackme6] 
[c] File View ines Plugins Options Window Help Tools BreakPoint-> 


| agdni43E 
66461491 
66401493 


HOW Cx. WORD PTR DS: LEA%+2] 








Hate FE 
11451 

BB481451 e SHORT Cracknes.19481607 Bet EDDA 

BB4Bl4B3 DU CL. Bur PTR DS: [EHE] BBlzFBBS 


DAT 485 
maani4ns 
664614480 
SSES 
HodpTAPA 
| 86461464 
Bede 1460 
paaani4BF 
DAT a 2 
Be4ET 405, 
66401423 
Baanidch 
66481401 
66461403 
66441405 
ba4e14D7 
66481402 
odp AUDE 
paaai4nE 
b64614E1 
664414ES 
BE4614E6 
664414ES 
ba4614EE 
664414ED 
p64a14F1 
paaai4rFa3 
BadaidFz 
| opAp1a4ER 
Dal dED 
maanai4rF 
padgisml 
Baani5us 
¡ada 150 
BE4G1be7 
Be461 586 
BE461518 
Be4G15715 
BE4G1S16 
PAe4e1517 


je HOl CH, BYTE PTR DS:LEBSs*11 
66% 2101 9235] ADD zu EE 


.  66:S1F9 SHES): CMP 
om TE ds CHE ach 
8158 DPE) CHE DWORD PTR pe CE 16008 


HOR CH, Cx 
HOR DL. AA 
HDD ECH. 4 
CHF ECK, GC 


JLE SHORT, Cracknes, 0040148F 
i OWORO PTR OS: CEAR+4), SSS0BFa2 


L.D 

OL, EL 

OL, EL 

CL, DL 

CL, EYTE FIR DS: CEAs+5] 
MOL! DL, EYTE PTR OS: CEAS+6] 
ACHG GE DL 
CMP DL.BBF. . . 


Ti 


LE 


Crzong EHR,BFFFF 
D asd 
DL, CL 
CL. DL 
AL, 1 
AL, 26 
CL, AL 
CN, 3891 
Or) ADOF Cx, BF RO 
41000000 EAS, 1 
EDX 
ECH 
LEAVE 


0 DA Toy P 4 Co CO 00 co CO O 
"mer 


EE 0169 18965 
os orm erae 





6644814820 Crackmes,.madaginsn 
Bal2srFB2B 


Bag4814B2 Crackmes. 66461462 


ES #825 32bit BLFFFFFFFF1 
CS mnalB S2bit BLFFFFFFFF1 
55 8825 32bit BLFFFFFFFF! 
Ds 825 S2bit BLFFFFFFFF? 
FS BASE 32bit YFFOFSe@e( FFF) 
ms meam HULL 


LastErr ERROR SUCCESS (Dog 
BERBER? rng,B.WHE,BE,HS.PFE.GE 


empty —4.215644563b5382562294B8he 
empty -UHORM E654 Oppop Ba 
empty —LINORA ESAC DOT daB 
empty UNO Es634 ABRA) S2 
empty Y.6116212/765rg656517r/be+ 
empty 5,941555301 405025065696 
empty D, OBRAR 
empty H, HDD 

a ecl B E.S.F 
4626 Cond 1B B&B Err 8 BH 1 
B2?F Prec HEHR,53. Mask 1 


ntdll.KiFaztSuztemCalLt 
ntdll.KiFastSuztemtcal 


Como tampoco queremos saltar en esta ocación, volveremos cambiar el valor de la bandera Z. 


Bia4n14B2 | ae TE 49 JNZ SHORT Crackmeé. @64814F0 | 
Ba4ail4B4 . 8135 smeBasiT|CHP DWORD PTR DS:LEBEl, rasiBeas 


La siguiente línea, CMP DWORD PTR DS:[EAX], 7A81B008, realiza otra 
comprobación. Después de todas las manipulaciones hechas a nuestra contrasefia finalmente los 
primeros 4 bytes serán igual a 7A81B008 y si no saltaremos hacia nuestro “bad boy”: 
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- [CPU - main thread, module Crackme6| 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 









aag4n149c 
padai4ni 
Baadaidnas 
664814A5 
6648145 
664414AD0 
















EL -BYTE PTR OS: CERT 
Hou CH. BYTE PTR DS: LERaril 
66: 22101 3235 ADO Ch; 3532 
E66:51F9 SHES|L x CH, DE E 














Registers (FRU) 
EAs B@4638050 Crackme&. BB4BSBED 
ECM Badia] 
EDs Dop2EOp 
EBs Aag 
ESF @@12FEBQ8 











Bn4al4B2 e T5 49 
: M mU EEP BBHl2FBHB 
Crew! `. ESI 66461620 Crackmeé. 06401020 
BBABidBC | 6623309 Ge 
BB4B14BF BnF? BA EIP 00401480 Crackmee.084814Bh 
Bn4Bi4cs SCI B4 | 

ZG B C 1 ES BB23 22bit BLFFFFFFFF) 
GC EE P 1 CS BBIB S2bit DUEEEFFFEEE) 
DUE AE cm ere |n. 8 SS 6623 32bit BLFFFFFFFF! 
ERREUR Poe eee -[z Ds e823 22bit BLFFFFFFFF) 
ee Ve bese S 1 FS BBSB 32bit rFFDFBBBIFFF) 
Ba4814D5 2201 porca Mer MER 
opera ppn D B. LastErr ERROR SUCCESS immane 
AAA TADE ee | ech ee E E Pg sone o gae 
646140 SASE + 

an STG empty -4.2164469858826229488e 
E addis 2 CE ‘CHG CL. DL DL STi empty -UNORH E654 Bam B2 
pie bis NEU x ST2 empty -UNORM ESAC gong) BE 
peer prm in STS empty -UNORM E&34 Gonpeog4 53 
GRADE ele: ST4 empty 7.611021270576565177De 
ELI nies 3 ST& empty B.BBBBamaOB BOBO 
amos (E Ee, [HOD ST? enpty 8, DOEODEDOEEEe 

H - 

EO El eet OR FST 4828 Cond 1 888 Err agai 
EIE orbes ae FCW @27F Prec NEAR, EZ Mask i 
ea4Gi4FF ||. |320A OR 
eadqeaise: ||. | Ba ei HOU 
aadaisas ||. | a4 2a ADO 
66481505. ||. | sacs HOU 
Ba4dI5u7 +66: pa 9138 | MOU 
pa4ai5Eng ||. :51F1 ADGF! XOR 
pagpila || Es eiemeeda lun) Got. 
aadaisis |» 5A POP ntdll.KiFsstSustemCal LI 
ga4aisie ||. 59 POP ntdlL.KiFastSustenCal LI 
@adeisi7. ||. cs LEAVE 
gadeisis |L. ce asu 
Bm4gibiB lr 5 PUSH EEP 
paaaisic ||. SBEC HOU EBF, ESP 
en4a151E ||. 5 PUSH EC v 
eo! > 


Después de volver a cambiar el valor de la bandera Z para no saltar, entramos otra vez 
dentro de un conjunto de comprobaciones. Bypaseando todas las siguientes comprobaciones 
llegaremos finalmente a la instrucción JMP en la dirección 4014FB: 





.v EE 18 MP 
iaa AED > | 8AD1 Mow DL. CL 
aadaldFF . | 32CA HOR CL, OL 
aade1sel . | Bo 81 MOL AL, i 
44441543 , 1 Bd 26 HDD AL, 24 
44441545 . | BACE MOL CL. AL 
aa4a15a7 > | 66:69 9138 (ROU Ck, 3891 
4444154B . | 66:S1F1 ADBF|XOR CX, AFAD 
aada1510 > | ES 6160666866 | MOL EAX, 1 
aa4a1515 > EA POP ED} ntdll.KiFastSustemCal LF 
Ba3591516 . 59 POP EC} ntdll.KiFastSustemCal Lk 
Bag81517 . ES LERUE 
aadaisis . Ce genua RETH £ 


Esta vez saltamos por encima de la instrucción MOV EAX, 1 en la dirección 401510 
con lo cual evitamos llegar al RETN con EAX igual a uno. 


Salimos de la rutina y regresamos al CALL que nos llevó a realizar todas estas comprobaciones: 
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- [CPU - main thread, module Crackmeb] 
File View Debug Plugins 








Options 





BreakPoint-=> 





Tee LE 
6S BF304000 
FFS5 2630406 




























Test = "ACCESS GEHHTED*'" 
[ia = HEESHI4SE (class=" Edit’ , parent=446441161 


6644128 . ES DCBBH2HBBBH SetllindowTeutH 
66441261 . BH D Enable = FALSE 
66461253 . FF35 2630460 [hina = BmabBldE folass="Edit", parent=00646116) 
64441289 » ES 58020000 EnabLell indo 
Bg4ni2BE ve EB 1H i 
SE GAASS » 68 HDZPdDg Text = "ACCESS DEHIED*" c! 
DL ZE . FESS 2630460 [pina = BHüncal4dE (class="Edit" ,parent=80646116) 
padala2cB . ES HCHABDDD | SetllindouwTeHtH 
668441206 > 6A HE 
pda S02 . S HZH 
6646120 . ES S3FA26606 
66401205 . BH BF 
668441 20E . 5628 HF3H4BBaH ASCII "ACCESS GRHHTED*'' 
Dap ZE . ES 338248000 
66401253 ne 
A 


EB 22 
B64612ER ea3rD i8 6A 
Bada12EE ve rb IC 
HAD) ZE . BH H 
BaaadaisFaz . FFr5 m3 
Ba4ai2F5 . ES S5£A26606 
664412FA we EB 1H 
BE4012FC A 8370 BC 18 


hind = Bmea4mniie ("TOC Cad)" class=" #32778") 


[tied = = HB 
EndDiatlog 


E401 S08 we TS BH 

6461302 » EA HB Result = B 

664a130d . FFr5 68 [rica = 6646116 ("TOC C#4]" class=" #32778" ) 
BE4+61 587 . ES 46626008 Endblialoa 

pmdaizac >» 3S3S3DH 

pagal 36E ; CES 

66461 36F . C2 1666 

mnadag13lis po oS 


ASCII "ACCESS DEHIED'*"" 


6646115 SBEC 

padmiai5 S170 AL 181 

Bno4miaic ww FE 3l 

BE4H1TS1E . DÉI 45304066 Text = "About" 

66401323 . FFr5 Ha Be = Bamigiie ("TOC Dsd1',class-':us2rrü'1 

üB4nisze | | ES 51620008 IMF. Ause indawT SetllindowTextA 

60401326 = BH 16 FUSH 16 Rerchane = 22. 

6641320 . FF35 rC3B4BB|PLISH DWORD PTR OS: E483870C1 [hinge = Baanmmmmag 

66401333 » ES 264244006 LoadBitmaph 

SEIN EG . DÉI FUSH EAX [Param = 8 

SES . EH D PUSH & wFaram = B 

16401336 . 58 Frebeeee | PUSH BF? Hezzaage = BM_SETINAGE Ké 
Š iii | > | 


Pulsamos F9 y vemos a nuestro “good boy”: 


Encrrptedi E PaA E Fai: lere] [tr 


F e = UIT: 
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7.8 Caso practico 8: Introduccion al nivel 2 (noob) 


En este ejercicio vamos a profundizar mas en el parcheo de programas, tomando como 
ejecutable un programa de consola. 


Las consolas son ventanas de 32-bit, cuyo comportamiento es igual a cualquier otro 
programa de 32-bit que se ejecuta en Windows. La ünica diferencia está en que no utilizan una 
interfaz gráfica. El ejecutable de esta lección se llama CrackmeConsole.exe. 


Hacemos doble clic sobre la aplicación para estudiar su comportamiento: 





7 


c* Acceso directo z Crackm eConsole 








-ioj x| 
Welcome to AR Crackme #1 


Please enter the correct serial: 





Introducimos un serial cualquiera: 




















«met onsole 





Please enter the correct serial: 
123456789 

Checking serial 

I’m sorry but that is werongt 
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Seleccionamos “N”: 


cs Acceso directo a CrackmeConsole 








Welcome to AR Crackme #1 

Please enter the correct serial: 
123456789 

Checking serial 

I?m sorry but that is urong? 

Try again? YZH: 


Uisit http: //cracking.accessroot.com/’ for everything AR 

Long live the ARTeamt 

Greetz & Shoutoutz to Whitefire for hosting our forum, forum.exetools.com, tech— 
arena.com, and the ÁRTeam 





Presione una tecla para continuar . . . 





Con esto ya tenemos suficiente para empezar a investigar el programa con Olly. Una 
vez cargada buscamos las cadenas de texto: 












































































































































OllyDbg - CrackmeConsole.exe - [Text strings referenced in CrackmecC:.text] = | m | xj 
[R] File View Debug Plugins Options Window Help Tools BreakPoint- = = (ei xj 
[Paused (x j HL) 2 + 1E/m0/T/wn/c)4/x/8/r].. 5] zz 
Address | Oisassembly Tent string a| 
BHa46147°9) PUSH CrackmeC. 0Ad4dHE 146 ASCII "bad cast" ZZ 
Ba46e467) PUSH Crackmel, BaAdaE2BS ASCII "Pr rrr E 
mnaapgz4855|PLISH Crackmel, dE 20 ASCII "Welcome to AR Crackme #1" 

Be4h2468) PUSH Crackmec.tmadmgz?2 ASCII "Please enter the correct serial: " 

BA462523| PUSH Crackmel, Bd 2672 ASCII “Check ing serial" 

Ba46250B) PUSH CrackmeLc.tBadag2z48 ASCII "I'm sorry but that is wrongt" 

66442644| PUSH Crackmel, DDADE 224 ASCII "Tru again? Yen: 

Ba4626CH) PUSH Crackmel, BE4HE1FC ASCII "Visit http: “crack ing.  accessront, com for everything AR" 
mnaapzv2F|PLISH Crackmec. BE IEA ASCII "Lona live the ARTeant" 

Ba4he7 98) PUSH Crackmel, BE4HE17S ASCII “Greetz & Shoutoutz to Whitefire for hosting our forum, forumexetools.com, tech-= 
Ba462942) PUSH CrackmeCl, DDADEI ep ASCII “pause 

Ba4623HA) PUSH Crackmel, BE4HE14C ASCII "Congratulations that is correctt™ 

BA46296HE) PUSH Crackmel, BE46E1FC ASCII "Visit httpi--cracking. accessroot.com- for everything HE" 
BHe462HB2|) ASCII "hi.B",üu 

Be4+62AC7) PUSH Crackmel, BaAda2zAB2 ASCII "hi. DÉI 

BE462FCE) PUSH Crackmel, DDADE 22 ASCII "ios base::badbit =et” 

Ba463062) PUSH Crackmel, BE4HE515 ASCII "los baserrtal lbit set" 

maapg2uis|PLsH Crackmel, BE4HE SEH ASCII “ios base::enotbit set” 

Ba4h3208) PUSH Crackmel, BE46HES60 ASCII "invalid string position" 

mnaapga2z9Bg|PLsH Crackmel, BdE S54 ASCII “string too long" 

Ba463A32) PUSH Crackmel, B0daE 140 ASCII "bad cast" 

BE4643C0) NOW OWORO PTR SS: LEBP-41, Crackmet ASCII "bad allocation" 

66464CES| HOW EBS,Crackmec.madmEdnm8 ASCII "Unknown exception" 

664440CF| PUSH Crackmel, BaadgEesma ASCII "COMSPEC™ 


BE4+64ERe|) HOW CLOCAL.3],CrackmeCl. B64BE4FE | ASCII "co" 
BB484E3A| MOU CLOCAL.41,Crackmel.G848E4Fa [ASCII "command. com" 
BE464E43) HOW CLOCAL.4],Crackmel. B64BE4ES | ASCII "omd.exe” 












































BA4+H4F 99) PUSH 18 [Initial CPU selection) 

HAD bo HOW OWORO PTR OS: C4124285], Crackme UNICODE ™ Ceece H" 

BE46S0AE) PUSH CrackmeC. BadaEC1S EISE eer 

Ba466219) PUSH Crackmel, BE4HERSS UNICODE déi hirtir H" 

madae6a4?7| PUSH Crackmel, BE46EC2C BSG See 

Be468220) PUSH Crackmel, BE4KECAR ASCII "PATH" 

A468349) PUSH Crackmel, BaAdaECBES ASCII "mscoree. dll" 

Hd) PUSH CrackmeCl, BE4HECAS ASCII "Cores itProcess™ 

Ba468538) PUSH CrackmeCl, BE4GECE4 ASCII ".**" 

BA4h8PF 2) MOD EDI, CrackmeC, BR46EEB4 ASCII "Unknown security failure detected*t" 

BaAdas7F 7) MOU DWORD PTR SS:DLEBF-1281,Crackm ASCII "A security error of unknown cause has been detected which has-ncoarrupted the proc 

maagaaua| HOW EOL, CrackmeC, SE46E0ER ASCII "Buffer overrun detected*" 

664685480| HOW OWORO PTR SS:CEBP-128],Crackm ASCII "A buffer overrun has been detected which has corrupted the progran" s>ninternal st 

HAD) PUSH Crackmel, BE46E024 ASCII "“program name unknown?" 

HAD ee PUSH Crackmel, BE4HE024 BS Monat 

Be469SH") NOW EOI, Crackmel. AE DI ASCII "*n*n" 

HAD) PUSH Crackmel, BE4HE018 ASCII "Program: " 

HDD) PUSH Crackmel, BE46HECES ASCII "Microsoft Visual C++ Runtime Library” 

HAD PUSH Crackmel, BE4HE024 ASCII "Zproaram name unknown?" 

madasoBaH| PUSH Crackmet.tBaaaEDza Esc 

EECH PUSH Erackmet. HE46F 255 ASCII "Runtime Errort*n*nProgram: " ké 
Dot WISU Can, seb pn, ADACHI FUTT PPs e^ m FF 

Hi | a 


Command +] 


Hacemos doble clic sobre el “bad boy” (I’m sorry but that is wrong) para situarnos en el 
área que nos interesa. 
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OllyDbg - CrackmeConsole.exe - [CPU - main thread, module CrackmeC] 





[c] File View Debug Plugins Options 


Paused (Sais 





mnudmnz5E3 
mnudmz5Bb5 
mnudmnz5Bgs 
Be4e25BE 
6646560 
Be4e256BF 
66442581 
66442504 
He4625C6 
Be4625C8 
He4625C8 
BHe4625CC 
BHe4625CE 
6684482506 
66442503 
664482505 
668442506 
He4625ER 
BHe4625E5 
He4625ER 
He4e25E0 
Be4e25EF 
Be4e25F 1 
Be4e25F3 
He4e25Fs 
He4e25FAq 
BBAEPEED 
RISEGT 
bbdd 
miden 
HAL 
Be4e268E 
6646726165 
SES Ae 
66467615 
SES AS 
Be4e2614 
b64B61F 
Be4e2621 
mnmndnzez4d 
mnmndnzezs 
SEET e 
mnmndnzezH 


ARAAZEZ2N 
d 


a 
D 


A 





ra Bd 
SDr424 34 


33CH 
3805 
HE OCH 


SBCS 
Bra4 CFhB2emamB 


68 48E24BBB 
68 AB2F41008 
ES ASF4FFFF 


SBC 

ES DSFSFFFF 
SBBE 

SBS1 B4 
eH4Cc32 Ba 


SRE A 


>| il 








Window Help Tools BreakPoint-> 


eje [Ep a 





LEA ESI, 
AOR EAS, EAS 
REFE CHPS BYTE PTR ES:[EDI], BYTE FIR DS:LESIJ 


SBE EAS, EAM 
SBE EAR, -1 
CHP Es, EBS 


CHF ED, EBF 


HOR EHS, EAS 
CHF EU, EBF 
SETHE AL 
CHF EAS, EB 
JE 


PUSH 
PUSH 


ADD ESP, 3 
MOL ESI, BAX 
PUSH op 
MOL ECX,ESI 
CRLL 


MOLI ECS, DWORD PTR DS: LESIJ 

MOL EDs, DWORD PTR DS: CECK+4] 
MOL CL,BYTE PTR OS: CEDK+ESI+3] 
LEA EAs, DWORD PIR OS: CEDX+ESTI 
ADR EDI,EDI 

TEST CL,É 


MOL EAX, DWORD PTR DS:LrEBRE*-221 
HOU EDX, DWORD PTR DS:rEBEl 
MOL ECE,EBE 

CALL DWORD PTR OS: CEDK+2C] 
CHE ERX,-1 


MOL EOI, 4+ 

MOL EAS, DWORD PTR O5:CESTI 
MOL EC, DWORD PIR DS: [EA4+4] 
ADO Elx, ESI 

CHF EDT, EEK 


MOL EAS, DWORD PTR OS: [El4+8] 
RNA. FOS. OMITIR. PTR Test säi 











ASCII "I'm sorry but that is wrongt" 









kernel32.7C8158D4C 


ntdll.rrc928r38 


está resaltado con una flecha roja. 


OllyDbg - CrackmeConsole.exe - [CPU - main thread, module CrackmeC] 


Ir 


of 


Vemos que hay un salto desde la dirección 4025C6 que nos lleva al “bad boy” y que 


Vemos también que accedemos al “bad boy" si no tomamos el salto JE en la dirección 
4025D5. Averiguemos hacia donde nos lleva este último 
instrucción JE. 


salto. Hacemos clic sobre la 










paa 5BD 
padaszsBF 
Be4e25C 1 
Be4e25C4 
pada25c5 
Haşa 
Ba4a25ch 
Be4e25C0 
mpada2scE 
668442506 
66482503 
6684682505 
6444508 
Had 5EHm 
p64az5ES 
BE4o25ER 
pads sED 
pada25EF 
piadassr 1 
Ba4a25Fs 
Ba4a25FS 
pada25FH 
paar 
6402661 
6402604 
as Pee 
pad] 
BE402686 
BE40266E 
ISEISES CAS 
ISEISES AG 
GIS IECH 
GIS ISES AE 
64442614 
664H4261F 
padazez1 
Bpa4o2624 
Ba4o2e6z26 
pada2se28 
pa3aze2H 
SE ESCH 
Ba4a26a2n 
mada2632 
pa302524 
ARABS, 
4 





mM 
D 


> 
> 


nr 








r4 65 


BFS4 CFeckeoe 


68 45624068 
638 AB2F4+1 68 
ES RÉF4FFFF 
S304 D 
SBFH 

6A BH 


SBCE 
ES DSFSFFFF 


r5 H3 
ASA. mad 


bil 

















[c] File View Debug Plugins Options Window Helo Tools BreakPoint-> 
Lex 44| X 





ej Hu] > 


SBE EAs, EA 
SBE EAs, —1 
CHP EAs, EBA 


CHF EO“,EBP 


HOR EAS, EAS 
CHF ED, EBF 
SETHE AL 

CHP EAs, EB 


PUSH 
PUSH 


ADO ESP, 2 
HOU ESI, EA 
PUSH op 
HOU EC, ESI 
CALL 


MOL ECs, DWORD PTR DS: CESTI 

HOW ED, DWORD PTR OS: CECK+4)] 
HOW CL,EYTE PTR DS: CEDR+ESI+3] 
LEA EAs, DWORD PTR DS: CEDK+ESTI 
aOR EDI,EDI 

TEST CL,É 


MOLI EAS, DWORD PTR DS:LEBst221 
MOL EDS, DWORD PTR OS: CEAS] 
Mow! EC, EAM 

CALL DWORD PTR OS: CEDX+20] 
CHP EAs, 1 


MOL! EDI, d 
HOU EHS, DWORD PTR DS: [ESTI 

HOW ECs, DWORD PTR DS: CEAK+4) 
ADO Ets, ESI 
CHP EDI, EBs 


HOW EHS, DWORD PTR DS: CECK+E] 
MOLI EDs, DWORD PTR OS: CECK+23)] 
OR EAs, EDI 

CHF ED, EBS 


MR FAX. 4 














ASCII "I'm sorry but that is wrongt" 









kernel32.7C8186D4C 


ntdll.7?7C928738 













ntdll.?7C928738 






Bajamos unas cuantas líneas... 
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[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 














l| 44) X 
ES 


KH 





Kl + 
POP ESI 


tAE A ei 


+ 





BE40256F kernel22.7C8186D4F 
























Bade 595024 1C = 
Badassr4 , | S85C24 DC 

DDAD2D ot . | Cré44e4 26 DEG HOL 

BaamzessH . | SB P kernel32.rC816D4F 
DüAD2O1 | re BD 

DAD , | SBS4e4 24 kerne LBZ. 70816055 

DDADL2D d WS ntdll.EiFastSustemCallRet 
Badma2228 . | ES CBHliEBBBdB 

Be4h2880 . | 8304 84 ADO ESP, TOES RSE 

Be4h2898 > | SB4C24 dp MOL EC 

DAC , | Gr: 2960 maa HOL Eerst PTR EGs ot, EC 

402896 ||. |SB4C24 3C HOW ECH, DWORD PTR S8: [ESP+30] 

Badazs2F . | 23CH “OR EAS, EAS 

aada23A1 . | ES CcBHz5688dg8 

BE4625H6 . | 8304 4C ADO ESP, 4C i 

aadasa aa a C3 

Ba4h250A > S65 4CE14006 PUSH — Átie- ASCII "Congratulations that is correctt" 
Aa4h25AF . ES AB2ZF41668 FUSH 

aadasSBd4 . ES DrFiFFFF 

BE4h28B9 . #8304 D ADO ESP,& 

DDAD2ODC . SBFH MOL ESI, EAR 

DDAD2OPE . EA D PUSH GA 

Badassca . SBCE MOL ECR, ESI 

amdasecz ||. ES BSFGFFFF CALL 

DDAD2OC e . EBBE MOLI EA», OWORD PTR DS: EESIJ 

DDAD2OCO . DAD B4 MOLI EC, DWORD PTR OS: CEA#+4] 

DAD . SDB8431 LEA EAH, OWORO PTR OS: CECH+ESTI 

DDAD2OCE . Ada D MOL CL, BYTE PTR OS: CEA#+8I 

Aa4h2802 = SSFF AOR EOI, EOI ntdll.rCc928738 

aada2304 . F6C1 Dë TEST CL,6 

DDAD2OD e ve FS 14 

A4h2809 . SB4B 28 MOL EA», DWORD PTR OS: EEHRSTZS] 

Aa4h2300 . BIĞ MOL EDS, OWORO PTR OS: CEAS] 

Aa4h280E . DCH HOLI ECR, EAS 

amndassEm . FFS2 2C CALL DWORD PTR OS: CEOX+2C) 

DDAD2OE , 83F8 FF CHF ERHZ,-1 

BE4H25E6 ww YE BS 

DDAD2OEG . BF 4600006 MOLI EDI, 4 

Aa4h25SE0 > EBBE MOL EA», DWORD PTR OS: CESTI 

DDAG2OEE . SB45 B4 MOL EC, DWORD PTR OS: CEA#+4] 

DDAD2OE 2 . SCE ADO ECH,ESI 

Ba4h28F4 . SBFB CMF EDI,EBX 

DDAD2OEe ww Cé 16 JE F 
ARAAP SES B AR41 AS MAL Fm. "mir PTR NS: 1FMR+2171 

4 k 


Y llegamos al mensaje bueno. 


Volvamos a analizar el área correspondiente al inicio del salto. 














Badges die 

Baadagazscs CHP EOx,EBP 

DACH JE 

Biaaasscc AUR EAS, EAR 

AA4h25CE CHF EDs, EBF 

Be462508 SETHE AL 

BB4gesna CHP EAR, EBS 

BB4B25DB PLISH ASCII "I'm sorry but that is wrongt™ 


Sabemos, por la flecha roja delante de los opcodes, que tanto el salto en la dirección 
4025C6 como el salto en la direccción 4025CA nos llevan directamente al “bad boy". Si 
subimos unas cuantas líneas podemos observar nuestra pirmera pareja de instrucciónes 
call/compare en la dirección 402582. 


http://masteracsi.ual.es/ 





OllyDbg - CrackmeConsole.exe - [CPU - main thread, module Crackmet] 







BE ir" 
Be 

Bina 

Bina 

Ba 

He 
GEELES 
be4he582 
DAD 
BE48253C 
Dad 
Be4e2592 
BE482596 
be4e2598 
DZ 
p64B25A0 
pa64B25A2 
Be4625A4 
BE4825R6 
Bana spa 
p64B25AA 
be4625AF 
p64B25E3 
DAC 
BE4625E9 
DZ 
Be462560 
pado25EF 
pa64B2501 
DAD A 
DAC 
Be4825C3 
Be4625CA 
Bana scc 
Be4825CE 
be4e62508 
pb64B-505 
a64B2505 
66462506 
BE4625ER 
BE4825E5 
Be4825EA 
be4e25E0 
padb25EF 
ARRAS 1 
4 
















» SBrCe4 
ww r3 Hd 


3605 
arasca 
SBCS 


» ES 166A8686 
> 83rCe24 2L 10 


18 


18 
44 


25 


45 
34 


34 


[c] File View Debug Plugins Options 


ex 44] X 
GEI 28 






18 


.. BF84 CFB2üBaa 

^ 68 48E24006 

. 68 ABZF4106 
ES ASF4FFFF 


k Il 




















Window Help Tools BreakPoint-> 


wis vd d 
MOL EDs, DWORD PTR OS: CECK+23) 
OR EAs, EDI 

CHP EDs, EBs 


Je 
OR EAR, 4 
PUSH EBX 





oe 











JHE 

LEA EDI, 
MOL EDX, 
CHP EDX, EBX 
MOL EEF 


CHF EDs, EPP 
MOLI ECs, EDX 


JB 

MOL ECx,EBP 
CHF 
MOLI ESI 
LEA ESI, 


HOR EAS, EAS 
REPE CHPS BYTE PTR ES:[CEDI], BYTE PTR OS:CESITI 


SBE EAs, EA 
SBE EAs, —1 
CHF EAs, EBA 


CHF EDs, EBF 


HOR EAS. EAM 
CHF EDs, EPP 
SETHE AL 

CHP EAs, EB 


PUSH 
PUSH 
CALL 


HDD ESP, E 
MOLI EG, Es 
PUSH BH 

HU FOR. FST 
























sin pasar por la instrucción CALL. 


Bmn4a25eF 
pb64B2571 
Ban4a25?4 
DAD d 
DAD 3 
DAC dE 
amn4a25?D 
DAD 
pb6402551 
DAD 2 
DAD 


werd 16 


SB41 85 
SBS1 25 


BEC? 
2603 


» [ES 106A0600 
A +B3rCed4 ZC 18 





SHORT CrackmeC, 68402587 
HOU EAX, DWORD PTR OS: CECK+8] 
MOW EDX, DWORD PTR OS: LECE*281 
OR EAS, EDI 
CHP EDX, EBX 


OR EAS, 4+ 
PUSH EB 
PUSH Es 


CHF v 16 













Breakpoint en el CALL de la dirección 402582. 





ntdl l. C9260738 


ntdlLl.KiFast5ustemCallRet 


Crackmec.zHodu leEntryFoint > 


ASCII "I'm sorry but that is wrongt" 


ntdll.?cC92m8r28 


dirección 402559. Ponemos nuestro segundo Breakpoint en esta dirección. 
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Ie Iw 


Ir 


pii 


Y subiendo un poco más podemos ver un salto que va directamente a la intrucción CMP 


Aunque esto no suele ser un comportamiento normal vamos a poner nuestro primer 


Si volvemos a subir unas líneas, vemos otra pareja de instrucciones CALL/CMP en la 


OllyDbg - CrackmeConsole.exe - [CPU - main thread, module Crackmet] 
[c] File View Debug Plugins pions BreakPoint- > 





Window Help Tools 

































































BE SBCE MOL EC, ESI 
a E ES SBFSFFFF 
Be4o2546 BSE16 HOU EDX, DWORD PTR DS:rESIJ 
ag4a2542 Sede B4 HOU EA, DWORD PTR DS: CEDx+4] 
Ba4a2545 284036 63 HOU CL,BYTE PTR Dës CEAX+ES1+5] 
Bag4a2549 Bacé ADD EAX,ESI 
A64A254E 33FF “OR EDI,EDI ntdll.7C928738 
66442540 F&Ci oe TEST CL, E 
aed4e255e ||... 75 14 
BB4BZESZ ||. SBda 28 HOU ERX,DWORD PTR DS:rERE-283 
Be4G2555 |. SsbEi18 HOU EDX, DWORD PTR DS:rERX1 
BeB4a255? ||. SECS HOL ECH, EAS 

. FFS2 2c CALL DWORD PTR OS: CEDK+2C] 
EELEE . SSES FF CHF ERX,-1 
DAD .v FS B5 mn 
Baa . BF nm4888888 Mow EDI,4 
Baa: > BBnB6 HOU EAX, DWORD PTR DS:rESIJ 
Baa: . 5545 84 HOU ECH, OWORO PTR DS: CEAX+4] 
Bia! . BSCE ADO ECH,ESI 
Bia! . SEFBE CHF EDI,EEZ 
4z .v T4 16 
aaa . BB41 as MOL EAM, DWORD PTR DS:rECE-81 
Baa . BB51 28 HOU ED}, DWORD PTR DS:rECE-283 
Baa . BEC? OR EBE,EDI ntdll.7C928738 
Baa . 3BSBD3 CHF EDX,EBE 
aaa .. PE B2 
Baa . 8305 B4 OR EAX, 4 
aaa > 53 PUSH EBX 
aaa . 56 PUSH EAX 

. ES i188hna8838 
EELEE > B37C24 2C 18 CHE 
Baa . BBrC24 18 Mow 
Bede .« T8 B4 
Bia: . SBDrC24 18 LEA 
Baa > BB5424 44 HOL EDX, 
Baa4az . SEDs CHF EDX, EBS 
aaa . BBÉCZA 28 MOL EBF 
GEETE .v T4 26 
Baa . 3BSBD5 CHF EDX,EBP 
Baa . BECA HOL ECH, EDH ntdll.KiFastSystenmCallRet 
Andaz .v FE BE SHORT CrackmeC.GB4a25nn 
DAD . SECD MOL ECX,EBP 
Baa > 837024 48 18 CHF 16 , 
Hada . SBP424 34 HO ESI Crackmel. Zhodu leEntryPoint > 
DD ev di Hd | IHR 


E 






































































ne LEI B A 
em Debug Plugins Options Window Help Tools BreakPoint-> S | | x 
edd sl KI jot $E] | a 
||. FFB2 2C | DWORD PTR OS: CEOK+2C I Crackmel,. HB4637A1 "m 
ISS AE . FS FF CHF EAX,-1 
Be4e6255F eV 
Be4e2561 . BF maman HOW EDI,4 
pieama5e6 > SBE HOW ES, DWORO PTR OS: CESII Crackmel, BE4HE478 
aodaz56s ||. SB. A AA A e a 
DAG ASCE 
DAG 3BFE = — a : 
E || .- r4 1 lcome to AR Crackme 11 
Abdaz=5r 1 5641 
DA 4 SBS1 
BO4B25TT Becr A STONES 
Do El SBOE 
aaa E v FRE 
Bagi D BSCE La 
64-550 + B3 
Hee al 5H 
Es 1 
DA TE » 8370 
DA [E aBrt 
pied E El e Tra E 
pied E E SOFC 
Bagi 6 + BBb4 
Bade A 3BDz 
Bagi [ES SB6C 
Bagi: H v Fd z 
pied z5mE 3BDE 
piedi z5pm4 aBCF 
pieaa2z5me v Fe E 
pied 25mS SECT 
Bagi: A > BEPC 
Bagh: F BBr4 
DAD v FO E 
BaamzsBgb SOU cd 
pied 5 ga +  335UCE 
Bad 5BB F3:F 
Bpieaa25BD ~ r4 E 
Bpieaa25BF 1BCE 
DAC 8308 
6846254 * JBC 
paa E ~ FE 1 
Be4HS5C8 + SBOE 
pipi z5CH ~ ra BF 
pied BC ZICH AUR EAS, EA” Crackmel, ba412F44 - 
ARARZSCr SANG CMP Fn. FRF El 
4 k 


Olly se detiene en nuestro primer Breakpoint. Pulsamos F8 hasta llegar a la dirección 
40256F donde saltamos, pasando el segundo CALL. Esto puede ser un indicativo de que se trate 
de una especie de rutina que sigue el programa para averiguar por ejemplo la longitud del serial. 
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| 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> -|| x 


ex 44, X 


ERES 
e3FS FF 


r5 BE 

BF 84800888 
BHE 

5643 H4 


all ii 





w is A et SNE 


DWORD PTR DS: CEDK+2C] 
CHF EAA, -1 


MOL! EDI,4 
HOU EA, OWORO PTR OS: CESTI 

HOW ECA, DWORD PTR OS: CEAX+4] 
HDD EC, ESI 
CHF EDIT, EB» 


JE 

MOLI EAs, OWORD PTR OS: CECA+S3] 
MOL EDs, OWORO PTR OS: [ECA+28] 
OR EAs, EDI 
CHP EDs, EBs 
Je 


OR EA, + 
PUSH EBX 
PUSH EAS 


CHF e 18 




















Crackmel, BE4637A1 
DAD 
DDo2E Sen F 
DDAD2Eel 
B4566 
DAD 
DAD 
Ha4e2560 
Ba4e256F 
dE el 
DDdDL2E dé 
DDdDL2E d d 
DAD d 
DAD d 

DAD 

Bam 53H 
DEI 


























Crackmet, DBADE A ep 
Crackmel. 668412FAG _| 
























Crackmel, 66412F44 














Crackmel, SpdDE A cp 





5B 
, [ES 106A0600 
A +B3rC2d 2C 18 


Continuamos pulsando F8 hasta llegar a la dirección 4025C6, donde sabemos que 
vamos a saltar hacia nuestro “bad boy”. 


OllyDbg - CrackmeConsole.exe - [CPU - main thread, module CrackmeC] X 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> -|| x 
ee 44 Si KI nt Bey De) a 
5B PUSH E 

ES lunas 


BadaP52y? ||?» 237024 2C 18 CHP 
aadeesec ||. SBrce4 18 Hau 
aadezsoe ||. 73 64 JHE 
aad4e2e592 ||. sorce4 18 LEA EDI, 
aBdaz556 || > SB5424 44 MOL EIN, 
aBd4Bz55A ||. 3603 CHF EDY, EBS 
Ba4a25soc ||. SB6éCs4 28 HOL EEF 
aadas5na ||.- 74 26 JE 

CHF ED}, EEF 

HOL EC}, EDH 













ai 


























Be4e25A2 |}.  3B05 
BA4625A4 ||. SECA 
Bm4nm25He || av ra Ha 














DAPP |.  SBCD MOL ECH, EBP 

HE4H2500 || > 837C24 48 10 CHP 18 

HE4H250F ||. 8B7424 84 MOL ESI 

HE4H25B3 || .- r3 84 

HE4H25R5 ||. 807424 34 LEA ESI, 

HE4H25B9 |» 33c8 “OR EAS, EAS 

ABAAZ5EB ||.  F3:A6 REPE CHPS BYTE PTR_ES:CEDI],BYTE PTR OS: CEST] 
BE4825B0 |. r4 B5 SHORT CrackmeCc,umm4a25C4 


BEAdH25BF ||. (1BCB 

Bpadazbci » 3305 FF 
DEA S 
ISERP 








SBE EAW, EAX 
SBE EAW, -1 
CHE EAX, EEX 
JHE 





AB4AZECS CHE EDY, EBF 

aandmz5ch JE 

DAD “OR EA, EAX 

AB4625CE ||. CHF ED}, EBF 

aaam2spa || 4| erssca SETHE AL 

aade2502 |) H 36C3 CHF ERX,EEX 

AS462505 ||. | 6F24 cFazaaas 

aBd46250E 68 45624008 PUSH ASCII "I'm sorry but that is wrongt" 
Ba4a2sEao ||. mmm oe PUSH 

aBd4B25ES ||. ES OeEdEEEE 

ABdB25EA ||.  &3c4 Bs ADO ESP, = 

BB4B25ED0 ||. SEFA MOL ESI,EAX 

aB4B25EF ||. 6A op PUSH BR 

aB4Bz5F1 ||. SBCE MOL ECX,ESI 

aBdB25FS ||. ES DSFSFFFF 

Badnzctrs ||.  SBBE HOU ECX, OWORO PTR DS:LESIJ 

aB4BZ25FA ||. SB51 04 HOU ED}, DWORD PTR Dës CECK+4] 

aB4B25FO ||. 242 os HOJ CL,BYTE PTR OS: CED+ESI+8] 

aadezeoi ||. 800432 LEA EAX, DWORD PTR DS: CEDX+ES1] = 
Head ema : AASFF BOE FTIT.FTFIT 

Al] + 


Hacemos doble clic sobre la bandera Z para no tomar el salto y continuamos pulsando F8. 
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[c] File View Debug Plugins Options 
Lex 44] X 


GISEISESCHg 
GISEISESGE 
amdaz538 
a aie ad 
SEIL 
am4n253n 
Bieada25ar 
Bada2sma 
GK EISE 
ISEISESEE) 
SEIL 
DEEG 
Bim 5B 
Bam4ndz5HF 
DEE 
Bid 5B5 
Ddg ZE 
ISEISE ES 
264482560 
am4a2z5BF 
Bida25ri 
Be4e25C4 
amd4nzsce 
DDARZ2EC D 
DdpZECH 
5/55 15 HA 
BEdHA25CE 
BE4e2508 
6684682503 
464482505 
Ae4o250B 
Be4o25E8 
Bid 5E5 
amddz5ER 
Biada25ED 
Bia 5EF 
Bamn4ng25F 1 
BAECS 
BE4E25F9 
Be4o25FA 
Biada25rFD 
BE4E2681 
AAAS ER 
4 


Jump 





E 


a 





5B 

Es 16509066 

s37C24 2C 1n 

SBrC24 18 

73 B4 

sn7C24 18 
424 44 


28 


18 


CD 
D 
=] 
cl 
o mo 
E 
DOE 
Ao 


ea 
a 
Eg 
E 
Pa 
E 
qu 
E 


38D5 
BF SSCH 


SBCS 


wel BFS4 LCFH2BBBB 
2 +68 45E24008 


68 ABZF4100 
ES ABF4FFFF 
5304 Dë 


SECE 
ES DBFBFFFF 
SEDE 


S651 B4 
en4cs2 as 
200432 
SEE 


is HOT taken 


HA4h250B-Crack mel, 6644508 


dL 








Window Help Tools BreakPoint-> 


Tees] sis 





Kéi =e 















































PUSH EAX EN 
CHF 
HOL 
JME 
LEA 
POL EDS, 
CHP EDs, EB 
MOL EEF 
CHF EDs, EBF 
HOU ECs, EO 
HOJ EC, EBF 
HOL ESI 
LEA ESI, 
AUR EAH, EA 
BE E CMPS BYTE PTR ES:CEOII],BYTE PTR DS:rESIJ 
SHORT Crackmel. B0482504 
SBE EAH, EA 
SBE EHZ,-1 
CHP EAR, EBR 
ne SHORT Crackmel. 00402506 
CHP EDs, EBF 
JE SHORT CrackmeC. 00462506 
AUR EA, EA 
CHF ED», EBF 
SETHE AL 
CHF EA, EBX 
JE 
PUSH 
PUSH 
CALL 
ADO ESP, 8 
HOU EST, EA 
PUSH HA 
HOJ Elx, ESI 
CALL Crackmec.8B84B1EDB 
HOU EC, DWORO PTR OS:CESII 
HOU ED, DWORO PTR OS: CECHKH+4)] 
Mow CL, BYTE PTR DS: CEOxX+ES1+81 
LEA EAS, OWORO FTIR OS: CEDH+ES1I] 
XnR FnhT.FTrnT 
dä 








Registers (FF 
FFFFFFFF 
A BE? 
EE EET 
gama 
Bi SFESC 
[ES 
AB1SFECI 
HaLSFEAS 


Be4825C6 


ES Bg23 
CS BAIE 
55 Baz 
OS Bazs 
FS G36 
GS maman 


LastErr 
ARRRRSCE 


empty UN 
empty E, 
empty & 
empty H 
empty & 
empty H 
empty HH 
empty & 


HABE Con 
BHzvF Pre 


B 
a 
B 
a 
H 
H 
H 


-|a| x] 
ul = = 


ASCII "23456799" 
ASCII "rrrrrrr™ 


Crackmel, GAZE 


32bit BtFFFFFFFF) 
32bit niLFFFFFFFF) 
32bit BLFFFFFFFF1 
32bit BLFFFFFFFF) 
32bit rFFDFamaiFFFJ 
HULL 


ERROR SUCCESS ( Banana) 
(HO,HE,E,BE,5,PE,L,LE! 
ORM BS7C 61658104 enam 


32146 EE Elek [eh a 
deae68 Err BBB BBs ri 
c HEAR,5S3 Mask S e E es He | 


Llegamos a la dirección 4025D5 y vemos que tomaremos el salto hacia el “good boy". 


OllyDbg - CrackmeConsole.exe - [CPU - main thread, module Crackmet] 





[e] File View Debug Plugins Options 


Paused (Ss 





Be4e6250A 
Be4625AF 
IESELEN 
Be462565 
Da 
p64b-5EE 
be4e2560 
DAF 
Be4e25C1 
Da A 
Be4625C6 
IESEL 
BB4B25CA 
DALL 
Be4625CE 
66462505 
B64625035 
66462505 
Ban4a25DB 
B64B25Eb 
B64B25E5 
BB4B25ER 
B64B25ED 
Be4625EF 
Ban4a25F 1 
DAF 
DAF 
Be4625FA 
Be4625F0 
66462601 
6402604 
BB482686 
BB482689 
BE482686 
BB46268E 
BB4626168 
BB4826 
Banana 
Basan 
DA 
DAD 
DAD 
DAD 
DAD 
44442 


2 
= 
E 


^ó CTh CTS CTS CTS CTS CT. CT 


Ou bu Du Kn eem c 
mh A TOO 


T 


Jump 


D 
a 


D 
a 
D 


a 


is taken 


BorC24 45 16 
SBrd24 34 
ra Dé 
SDr424 34 
33C8 

FS:Ae 

r4 BE 

IPC 

S305 FF 
SBCS 

r5 13 

3605 

re BF 

33C8 

3605 

AFS5CA 

EISE 

BFS4 crazamaa 
63 45E24800 
63 Aber 4168 
ES HeF4FFFF 
2504 BS 
GEO 

GH BA 

SBCE 

ES DSFSFFFF 
SBBE 


GP) B4 
BA4C32 0S 
200432 
33FF 

Feci oe 
75 14 
BB4B z 
BB1B 
BBCS 
FF52 
Ss 
75 B5 
BF jonona 
BAG 

BB4B B4 
ASCE 

SBFB 

Cé 16 


2C 


KH 











Window Help Tools BreakPoint-> 


s ee OR El 


CHF 
Hat 


LEA ESI, 
ADR EAS, EAR 
REFE CHFS BYTE PTR ES:[ED0I], BYTE FTR DS:[CESI] 


SBE EAs, ERS 
SBE EBx.-1 
CHF EAs, EBs 


CHF EDs, EBF 
JE 


AOR EAS, EAS 
CHF EDs, EEP 
SETHE AL 

CHF EAS, EBa 


PUSH 
PLISH 
CALL 


ADO ESP, & 
MOL EST, EAR 
PUSH op 

MOL EC, ESI 


MOL EC, DWORD PTR OS: [ESI] 

MOL EDs, DWORD PTR OS: CECK+4] 
MOL CL,BYTE PTR DS: CEDK+ESI+3] 
LEA EAs, DWORD PIR OS: CEDA+ESTI 
ADR EDI, EDI 

TEST CL,6 

JHE 


MOU EA», DWORD PTR OS: CEA»#+29] 
MOU ED, DWORD PTR DS: LEBER] 
MOU ECs, EAX 

CALL OWORO PTR OS: CEDX+2C] 
CHP EA, —1 

JHE 


MOL! EDI, 4+ 

MOL! EAR, DWORD PTR DS: CESI] 
MOL! EC, DWORD PTR DS: CEAX+4] 
HDD Es, ESI 


CHP EDI. ERY 
UF SHART feackmer.Bmams6an 







^i 


ESI 




















ASCII "I'm sorry but that 


Le wrongt™ 





Una vez llegado a este punto, podríamos coger y parchear la aplicación en el punto 
donde hemos cambiado el valor de la bandera Z. Pero esto nos dejaría con la siguiente duda: 
¿Qué sucedería si nuestro serial es demasiado corto o largo? o si es diferente al serial que hemos 
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introducido. Realmente este no sería un buen parche ya que no sabemos a ciencia cierta lo que 
estaríamos parcheando. 


Intentemos pues realizar una investigación más profunda de acuerdo al nivel noop visto 
en el capitulo anterior. 


Volvamos a la dirección 4025C6 y analizemos porque hubiesemos tomado el salto si no 
estaría parcheado (recordemos que hemos cambiado el valor de la bander Z en esta dirección). 
Como recordatorio podemos poner un comentario en esta línea indicando el estado de la 
aplicación antes de poner el parche. 





OllyDbg - CrackmeConsole.exe - [CPU - main thread, module CrackmeC] = 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> = 


Er 44X| Kl OS) Ht) b ali a 


p64a25AR earCc24 45 18 CHF 

BE4G25RF |. SBr424 34 MOL ESI 

Ba4m2z5B3 || .~ 73 B4 

BE4825B5 ||. 3801424 34 LEH ESI, 

DAD 33C8 ADR EAs, EAM 

BE4G25BBR ||. : REFE CHPS BYTE PTR ES:LEDIJ,BEVTE PTR OS: [ES1] 
Be64AzZEBD |]. 

BE4G25BF ||. SBE EA, EAH 

BE4G25C1 ||. SBE EAS, —1 


DAD A SBCS CHE EAH, EBH 
BE4G25CE |. HZ SHORT CrackmeC.BB4825DB f Salto al "bad bos" 
Ba4a25ca E ae 


BE4G25CHA ||. 

BE4G25CC |]. aOR EAs, EAs 

BE4G25CE ||. CHP ED, EBF 

BE462508 ||. SETHE AL 

Be4e2503 ||. | 3BC3 CHF Es, EBs 

BE462505 || «| BFS4 CFa2amaa 

66462506 +68 4aE2488085 PUSH 

BE4825E8 ||. 68 RB2F4106 PUSH 

BE4G25E5 ||. ES REF4FFFF 

BE4G25EH ||. ADO ESP, S 

BE4G25ED ||. HOU EST, EAs 
: PUSH BA 





Crackmec.zHadu leEntryPoint > 


ASCII "I'm sorry but that is wrongt™ 


pada2sEF 


piada2sr 1 
BE4H25F 3 
BE4G25F3 
pad sra 
DRADZEED 
DA926Gpl 
Ba4o2684 
made 
pada26585 
BE402686 
BE48268E 
6442610 
pad026512 
Be4e2615 
Be482615 
padaselh 
pada26lF 
padazez1 
Ba4o2624 
Ba4o2e6z26 
HEI AA 


SBCE 
ES DSFSFFFF 
SBBE 


SBS1 H4 
DA 22 Ha 
20443 


HOW EC, ESI 


MOL ECs, DWORD PTR DS: CESTI 

HOW ED, DWORD PTR OS: CECK+4)] 
HOW CL, BYTE PTR DS: CEOR+ESI+6] 
LEA EAs, OWORD PTR OS: CEDK+ESTI 
aOR EDI,EDI 

TEST CL,É 


MOLI EAs, DWORD PTR OS: LEBsT221 
MOL EDs, DWORD PTR OS: LEA] 
Mow! EC, EAM 

CALL DWORD PTR OS: CEDX+20] 
CHP EAS, 1 


MOL! EDI, d 

MOL EHS, DWORD PTR DS: [ESTI 
HOW ECs, DWORD PTR OS: CEAK+4) 
ADO Ets, ESI 


CHP EDI, EEH 
JF SHORT frank met. ARJAPEAA 


kernel32.7C8186D4C 


ntdll.?C928738 


4 





BmB4B25BB ||. F3:A6 
BB4H25Bn || ae r4 B5 
BB4B25EF ||.  1BCH SBB EAS, EAS 
BE4825C1 ||. 82308 FF SBE EAX,—1 
DAC A ||» SBCs MP EA 
DAC "e fh 13 





iid Salto al "bad boy” 


Podemos apreciar dos instrucciónes SBB con una instrucción CMP, lo que no nos aclara 
mucho. Subamos por lo tanto a ver lo que hay en la sección anterior. 


nada 5mWF SBr4e4 34 H Crackmel. Hody leEntryPoint > 
DAD Oe TS ad | 

Be4625B5 .  SDr424 34 LEA ESI, 

Be4625B9 » SSCA AUR EAs, EAS 

Be4625BE = F3: BG REFE CHPS BYTE FTIR ES:LEDIJ,BVTE PTR Dës CEST] 





DAD IP. 74 85 


Aquí encontramos la instrucción REPE CMPS. Miremos lo que significa REPE: 
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^ Intel x85 Instructions E - [8] x| 


Archivo Edición Marcador Opciones Ayuda 


REP/REPE/REPZ/REPNE/REPN/—Repeat String Operation Prefix 





See oio 


Description 

Repeats a string instruction the number of times specified in the count register ECS or until 
the indicated condition of the ZF flag is no langer met. The REP (repeat), REPE (repeat while 
equal), REPNE (repeat while nat equal], REP (repeat while zero), and REPNZ (repeat while 
not zero) mnemonics are prefixes that can be added to one of the string instructions. The REP 
prefix can be added ta the INS, OUTS, MOSS, LODS, and STOS Instructions, and the REPE, 
HEHNE REPZ, and REPNZ prefixes can be added to the CMPS and SCAS instructions. (The 
REPS and REPMZ prefixes are synonymous forms of the REPE and REPNE prefixes, 
respectively.) The behavior of the REP prefix is undefined when used with non-string 
Instructions. 

The REP prefixes apply only to one string Instruction at atime. To repeat a block of 
Instructions, use the LOOP instruction or another looping construct. 

All af these repeat prefixes cause the associated instruction ta be repeated until the count in 
register (EJCX is decremented ta U (see the following table). (lf the current address-size El 
attribute iz 32, register ECA is used as a counter, and if the address-size attribute is 16, the 
(CX register is used.) The REPE, REPNE, REPZ, and REP prefixes also check the state of 
the ZF flag after each iteration and terminate the repeat loop if the ZF flag is not in the 
specified state. When both termination conditions are tested, the cause of a repeat 
termination can be determined either by testing the (EJLa register with a JECRZ instruction or 
by testing the ZF flag with a JZ, JMZ, and JNE instruction. 


Repeat Conditions 


Repeat Prefix Termination Condition 1 Termination Condition 2 
FFP Fi^Xzn bone ~| 


Lo que viene a decir la definición es que la instrucción REPE repite la instrucción 
CMPS, como si de un loop se tratase hasta que ECX sea igual a cero. 


Es decir, “repite la comparación de dos direcciones de la memoria, incrementando esa 
dirección por cada iteración del loop, mientras que la bandera Z permanezca igual”. 


Ponemos un Breakpoint en la primera línea de esta sección y que corresponde con la 


dirección 4025B5. Reiniciamos la aplicación. Introducimos nuestro serial y Olly se detiene en el 
Breakpoint. 
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OllyDbg - CrackmeConsole.exe - [CPU - main thread, module Crackmet] 
















HAD Z2E DG 


DAD EE : REPE CHPS BYTE PTR ES:CEDI],BYTE PTR DS:[ESI] 

AB4B25ED || .- 74 a5 

AB4B25EF |.  1BCa SEE EAH, EAX CrackmeC, @646E478 
ae4e25C1 ||. 8308 FF SBE EAX,—1 

GA || > BCS CHF EAM, EBX _| 
AB4B2ECS ||. 75 18 tit Salto al "bad boy" 
AB4BZECE 3605 CHF EDY, EBF 

AB4BZ2ECA ||... v2 BF 

aedeesce ||.  33ca “OR EA}, EA CrackmeC. B64BE475 
ABÁBZ25CE ||. 3605 CHP EDY, EBF 

aes4as5spa |. GFssce SETHE AL 

Bede2502 ||. SBCs CHF ERX,EEEX 

Ae462505 ||. 6F24 cFazaeaaa 

Ae462508 || > 68 4sE24888 PLUSH ASCII "I'm sorry but that is Wrongt" 
Be4e25Ee ||. 68 AB2F4168 PUSH 

ARABZ5ES ||. ES B&F4FFFF 

aGB4a25ER |.  &3c4 os ADD ESP, 

AB4BZ5E0 ||. SEFA MOL EST, EAS CrackmeC, B64BE470 
ABAB25EF |. 6A an PUSH op 

aB4B25F1 ||. SBCE MOL ECH, ESI 

ardB25FS ||. ES DSFSFFFF 

ABd4BZ5FS |.  SBBE HOL ECX,DWORD PTR DS:LrESIJ 

AB4BZ25FA ||. SES1 o4 HOU ED}, DWORD PTR OS: CECK+4] 

añdB25FO ||. SA4Cs2 os HOW CL,BYTE PTR OS: [EDE«ESI-«-21 

am4m2senmi |. 800432 LEA Epos, DWORD PTR DS: CEDX+ESI] 

aB4s2en4 ||.  S3FF “OR EDI,EDI 

abdezsas |. Féci oe TEST CL,& 

aas4a26n29 Il, 75 14 

aes4a2eng ||. SE4a 28 HOU EA», DWORD PTR DS:rEBz-281 Crackmel. 80464025 
BB4626GE |. Gig HOL ED}, DWORD PTR DS: CEAXI 

ged4ez6ie || . SECS HOL ECX,EBE Crackmel. B640E478 
aB4a26iz |. FF52 20 CALL OWORD PTR DS:rEDE-3C2 

aB4a2615 || . S&SF8 FF CHF ERX,-1 

an4azéi8 ||.- 75 a5 mi 

amámsein ||. BF 64000668 MOL EDI,4 

BaeB4B2561F || > BÉ MOL EA}, DWORD PTR DS: CESII 

aB4a2ez1 |. SE48 o4 MOL ECX, DWORD PTR DS: CEAX+4] 

aB4a2624 ||. BSCE ADO ECN, EST 

GëAp2e2e ||.  SBFB CHF EDI, EB! 

aadezeze ||... 74 16 

aed4e2670 ||. SB41 oe MOU EA, OWORO PTR DS:CECH+8] 

Be4e2620 ||.  SB51 28 HOW EDX,DWORD PTR DS:rECE-221 


Fide 3m 






















HOR EAH, EAH 
































0R FAZ EMT 


Crack mel, DA Aen 








[c] File View Debug Plugins Options window Help Tools BreakPoint-> -|| x 
eddi KI béit b | oa 
OD e 2d 34 LEA ESI, um 


E ké 
4 k 


Fijemonos que la primera instrucción LEA ESI, DWORD PTR SS:[ESP+34] esta 
cargando una dirección efectiva de la pila a ESI. La SS significa pila y [ESP+34] denota la 
posición en la pila. Si miramos el contenido de la ventana de información podemos apreciar que 
SS:[ESP+34] es igual a la dirección 0013FECO, y esta almacena nuestro serial en ASCII. Si 
pulsamos F8 una vez podemos ver como el serial en la pila es pasado al registro ESI. 



















































OllyDbg - CrackmeConsole.exe - [CPU - main thread, module Crackmet ] x 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> -lej sl 
cada] x] HE eb d o EI? 
z .  BDrde4 34 LEH ESI, Registers (FPL D € 
ee SE GE EAX @Q4GE4?@ Crackmel. 064B£47 
BO4B25EB ||. F3:ne REPE CMPS BYTE PTR_ES:CEDI],BYTE PTR DS:LESI] Ere meneaens 
6648580 aw r4 BS ED paaadam 
BG4G25EF ||. 1Bc8 SBE EAH, EAX ERY BADOGOBA 
sedazsci ||. 8308 FF SBE EAX,-1 ESP BBISFESE 
padeescd | > 3803 CHP EAH, EBX EEr BOBBBEOBE 
aoaosece || 5 Sens CHE EDX, EBP See eae 
AAJAZ5CS o „m 227 
E EDI BBI8FER4 ASCII "TT?TTTT?" 
BO4BESCA ||.-« 72 GF 
SC . 3306 XOR ERX, ER EIP 00402565 CrackmeC.BB4B25B5 
H SE . z 
cece ||- , C 1 ES maa 32bit BLFFFFFFFF) 
ga+B25D8 |. mBrFoscH SEES P 1 CS BB1B S2bit BLFFFFFFFE) 
HESSE CBE SS AB S5 Doan S2bit ØÍFFFFFFFF] 
Bd ae |.» BFB84 E DEEG 2@ DS 0023 S2bit BLFFFFFFFF) 
EECH SE |» $8 4585-4000 PUSH 5 1 FS BZB 32bit TFFDDaBBrFFF) 
SGdG25E0 |. 68 ABZF4108 PUSH T B Ge 6000 HULL 
ele MOU BST ër 0 8 LastErr ERROR SUCCESS (B800888B) 
aganaser |. 6A OA PUSH BW s EFL aageaze7 (NO,6,NE,BE,S,PE,L,LE) 
Wen ccu ue STO empty UMOR B97C 01056104 09880998 
Badeesre |. SEE MOU ECH, DWORD PTR OS: CESI] ET? empty BIB 
BedG25FA |. S8B51 04 HOU ED, DWORD PTR OS: CECK+4] STS empty 6.8 
Bed25F0 ||.  &aacas es HOW CL,BVTE PTR DS: LEDRHESITE] Sri Zuch 00 
eTe A iae ad ona422 Leon En nbn DTO mc. PËDMAÉËGT? STE ero aa 
alo ipt: D 
` WW enoto oio 
ddr + Ss-4461SFECO, [ASCII "1234556783 STY empty H.H 
"S231 5218 ESPUOGZODI 
FST 6868 Cond ABER Err& BB GBB B B | 
FCW @27F Prec NEAR,5S Mask ^ 1 1 1 1 11 
aat 3FESC BERBER A 
Semer ABISFESA | BBISFFCO 
AE Bal3FES4 | amens 
66412020 4 ABISFESS | rFFDEBEG 
eve ABISFESC | FC959766 | RETURN to ntd Ll. 7098 
E ABISFERA | Base 
EE EES on be oe Oe) pte JE 
SIN Ha Srana 
09412068 EE BalsFEnCc | 66412060 Crackmel. 00412000 
3 HME ABISFEBA | BB1SFFCO 
Po aa E cae BBI3FEB4 | BBBBBaBBS 
Mig Ee BG1SFEBS | BüBBaBEF 
enis ED TR Bal3FEBC | aaaenana 
E E MES BBi3FECH | 34333231 _| 
SSES EE imp loca leBet dira _fosisreces | Aninoasa BEE 
ga4120EB|! Dette Ee AALAEEF | Zecgze net ete” 





Command -| 


m 4 
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Registers IFF] 


EAs Ba4BE4r8 Crackmer.madaEdgz8 
EL a HD 
EDs DD"? 
EBX DD 
d 
El Hm 
ESI BB1SFECA ASCII "123456739" af 
EDI S@B1SFEA4 ASCII Ted"? 


CU ALA 


EIF 88462569 Crackmel. BE4025B9 


La siguiente instrucción pone EAX a cero y llegamos a la instrucción REPE. En este 
caso el contenido de la dirección almacenada en ESI es comparada con el contenido de la 
dirección almacenada en EDI. 


OllyDbg - CrackmeConsole.exe - [CPU - main thread, module Crackmet ] 
[e] File View Debug Plugins Options Window Help Tools BreakPoint-> 


Paused Golda] x] ul Se] $515] a 












+ 




























. Gbrd24 34 MOLI ESI 
ve r3 B4 
. sOr4e4 34 LEH ESI, 
> S308 AUR EAS, EAS 
- STE REFE CMPS BYTE PIR ES:CEDII,BYTE PTR DS:LESIJ 
1BCB SBE EAs, EA 
2208 FF SBB EAs, —1 
aage > SBCS CHP EAS, EBs 
GISEISEOAR E + fe 13 


Ba4az5cs |» 2805 


CMP EDH, EBP 
aa4as5ca || .« 72 BF JB 


BH4H25CC0 ||. OCH AUR EAS, EA 
agas CE ||.  3sBD5 CHF EDs, EBF 
BE46250R ||. DECH SETHE AL 
668482503 SBCS 






CHP EAS, EBs 
JE 
PUSH 


Ba4B2505 || iv mFea crFasaaaa 
BE4625DR | + 68 428E24006 














GG4G25E0 ||. 68 AB2F4166 PUSH 
am4az5ES ||. ES RéF4FFFF 

BBÁBZEEA ||. 8304 os ADO ESP, = 

BB4B25ED0 ||. SEFA MOL ESI,EAX 

BB4aA25EF ||. 6A an PUSH op 

Ba4azcsri ||. SBce HOW ECX,ESI 

Ba4assFa Es DSFSFFFF CALL 

BB4B25FS Got HOU ECH, DWORD PTR DS:LrESIJ 





DP: Li, Fia B a ee e OCC 1 fa Mall CDM TMB. OTO Moa TEL 


4 Kl | 





Después de la comparación el registro ECX es disminuido en uno y la comparación 
seguirá en la siguiente locacilación en memoria de ESI y EDI, finalizando el loop cuando ECX 
valga cero. 


¿Cuantas iteraciones tiene el loop? Si nos fijamos en el gráfico anterior 
ECX=00000008, lo que significa que el serial tiene una longitud de 8 caracteres y el loop 
comparará cada dígito entre ambos registros. 


Para saber con que es comparado el serial que hemos introducido, vamos al registro 


donde vemos que EDI apunta hacia una dirección en la pila. Hacemos clic con el botón derecho 
y seleccionamos “Follow in Stack". 
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Increment Plus 


Decrement Minus 
Zero 

Ser Eo 1 

Modify Enter 
Copy selection to clipboard ` Chrl+c 


Copy all registers to clipboard 


Follow in Dump 
(Fotow in stack ) in Stack | 
View MMs registers 


View SDMow! registers 
view debug registers 


Hw break [ESF] 


Appearance + 


Vemos como la pila nos muestra la dirección a la que hace referencia el registro EDI, en 
nuesro caso 0013FEA4. En esta dirección podemos ver una cadena de sucesivos “37” 





Hei SFEA4 3Srararar ES 
BaisFERHS 3r3r3r3r 

HG1SFEAC Eia 12688 Crackmel, 66412068 
6013FEBGA a613FFCA 

6013FEE4 HAHAHHHS 

GE1SFEBS DDDDDDDE 

Dpl2EEDC ARERR 

BgaisrEca 34333231 

Abi SFEC4 35373635 

HGISFECS DAD Crackmel, DAD 20 
aa13FECCE aaasars6s 

AH1SFEOR Em 

HG1SFEO4 DDDDDDDE 

AGISFEDS | 16460424 E] 
He1SFEOC BaisFFBu Pointer to next SEH 
HG1SFEES aadADBAA SE handler = 
mE ARARARA 1 

4 F 


De la tabla de conversión entre hexadecimales y decimales sabemos que el hexadecimal 


37 equivale al 7 decimal. Podemos concluir entonces que nuestro serial va a ser comparado con 
una cadena ASCII de sietes. En la pila podemos ver que hay ocho caracteres de “37”. Estos 
ocho “7” van a ser comparados, uno por uno con lo que hemos introducido como serial. Si todos 
los ocho digitos de nuestro serial son iguales a 7 entonces tomariamos el siguiente salto. 

¿ Pero que pasaría si en lugar de nuestro serial introdujesemos ocho sietes ? 


Reiniciemos la aplicación, pulsamos F9 e introducimos el nuevo serial: 
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cr C:\Documents and Settings yusuarioMis documentos, RE The Legend of Random! Th 


Welcome to AR Crackme #1 

Please enter the correct serial: 

DOE 

Checking serial 

Congratulations that is correct? 

Visit http:rrcracking.accessroot.comr” for everything AR 

Long live the ÁRTeamt 

Greetz & Shoutoutz to Whitefire for hosting our forum, forum.exetools.com, tech— 
arena.com, and the ARTeam 





Presione una tecla para continuar . . . m 








Conclusión: Si no nos queremos conformar con un simple parche, del cual no sabemos 
si realmente me va a funcionar o no, podemos siempre profundizar un poco más en nuestra 
investigación para averiguar la contraseña correcta de la aplicación. 


7.9 Caso práctico 9: Ejemplo de Noob Avanzado 


Abrimos Olly y cargamos la aplicación RegisterMel.exe. Pulsamos F9. Vemos en 
primer lugar un cuadro de texto que pone: “This program is not registered" y debajo otro cuadro 
de texto vacío en el que tenemos que introducir un serial. Una vez introducido hacemos clic en 
"Check Serial". 


http://masteracsi.ual.es/ 


-i8] xl 
EES 





OllyDbg - RegisterMel.exe - [CPU - main thread, module Register] 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 
ad Si KI wäit $E a 





> 





Running 













































64481464 |p EE PUSH o pHadu le Regist (FPL 

60401002 ||. ES ZEIEN CALL A e ERE AO 

amamimar ||. A3 30304000 HOW DWORD PTR DS: [403090], FAX kernel& ec Aeëgëoeg perne laa. (geen 

BO4B16BÉ ||. 68 28104000 PUSH Register. 00401025 DIaProc | Fou opooaeoo 3 

pam4miair ||. FF2325 9ø2ø4000 | PUSH DWORD PTR DS: [4823098] hInst se les, negado 

aeadeiaio ||. Es 4ceisene CALL IEN TEn eege 

Aadaiass ||. Se PUSH ERE Ex itCock l 

Hä4äläz3 , ES vgpplDoDp Ex itPro EIF ?C91EB94 ntdlLl.KiFastSystemCal LRe 

Pe ere . SEED ée C B8 ES 0023 22bit BLFFFFFFFF) 

amdmiszB ||. S170 ec 10010006| CHP 118 E A ae Hie ae a EEFE TREE) 

aadaiase || i. 75 15 Ni v B DS 0623 32bit OLFFFFFFFFI 

| PUSH Eme E S 8 FS BB3B Sebit r'FFDDBBBLFFF) 

RegisterMel === lp : i 

vines |: Säin ERIE CUP: ss i I |g ST 

BB4miB4s |. ES 48616606 This program is not registered m I e 

Gadaiad? || v EB SB EFL oooopzez (NO, NE, NE, A, NS, PO, GE, G) 

decre! EMEND LE uel STB empty 9. 9464010768361019540e-4925 

A Pee eade ST1 empty +UNORM @46F BeaanaaaB SASEAR 

cec eer EE Un UNE ST2 empty +UNORM 0484 Baanaaam paa 

o a raul aes um [378 empty 5.92851703047042683200-4932 

agaeiese |. AS 94284880 MOU DWORD PTR els: |214 empty -4,804d46cdBrescdz24168e 382 

sedens Le ae oes - - | [5T5 empty m.8Gmasaanaas3S033638e-4233 

bawatacs ||: seca OR EB En» Check Serial Quit eim 06278 empty -7?? FFFF opogpgpg Goopopp 

Ba4niase6s |. B DP Epos, EAK `, CR ST? empty 3.83961558711881795528e-4222 

4 A 2321 eS la 
FST #860 Conda AAA En aGaaaan 
ECH Gäert Prec NEAR,SS Mask 1-11 

Reaizter.zHoduleEntruPaoint:- 

MEE ASCII BalSFFC4 || SHEI RETURN to Ea 

Bada3anB|5s 65 6r "3 T4 65 r2|28 60 65 26/31 00 54 68 Register me 1.Th dard ecco ntdll. (Cep 

Ba4B3010|61 74 28 63/73 20 6E 6Fl 74 28 63 6F| 72 72 65 68 at is not correc Se ee EE 

Ba4mnaaPa|T4 2E 66 54/68 61 r4 20/69 T3 20 63|6F 72 72 65 t..That is corre cre cad | aa 

Gadaseasal 63 74 21 06/54 68 69 73 20 7a r2 6Fl 67 v2 61 6D ett. This program dor neq crece cis 

Ba4mnam4g|28 69 73 26/72 65 67 69 73 74 65 72/65 64 21 op is registeredt. ocu MM Rockies 

GadasaselS4 68 69 73/20 op r2 6F 6r r2 61 eD|28 69 73 28 This program iz EN E DM 

BO403060|£6E 6F 74 26/72 65 67 69/73 74 65 72165 64 21 Bà not registeredt. ra penne ids a P 

Ba4mgsarya|rS 44 45 SF) AC SC SE 43| 4B SE 4D 41/40 45 SF nc «DE .*^CE^HR.E.. BBlaEFES | »CSIÉDES PEE = Lao. or 

Ba4mnamaa|42 43 58 AC|5E 49 4B 45 SF 58 49 EEI dä 48 aD op ECW.^IKE XI^IH.. GEI erneloe. 

gadesasa| oa GE 48 GB|aB6 ma op Be on op GB op oo op oo op ES CREMER Ee || 

cb Ss uen: Ss | oaeen 

E H H H D DH D H H H H D D DH H D Dr — e is o 
uui ^ oo ma nma nma nma nma nma nma manna op nana op na AG aalsrFFFeS 60481400 Soch 
4 + 4 + 


Vemos que nos hemos vuelto a equivocar !!! 


Register xj 


That is mot correct, 





Busquemos por cadenas de texto: 













Text strings referenced in Register:.text 


Address 
468461415 








Text string 
(Initial CPU selection! 


Disassembly 


65 





Hö4hidAC PUSH Register. Hadad ASCII "Register me 1" 

HE46106B1) PUSH Register. sh4nsh25 ASCII "That is correctt™ 

a6461AB0( PUSH Register, 6443434 ASCII "This program is registeredt” 
HA461605| PUSH Register. ada ASCII "Register me 1” 

Happ PUSH Register. s646S8HE ASCII "That is not correct." 

64441H6E6| PUSH Register. HRARZ2ER ASCII "This program is not registeredt" 
64411601 | PUSH Register. HARZ ASCII "iz3456732" 

a68441116| HOU EAS, Register, BRAZ ASCII "i23456r59" 





Al | 


Hacemos doble clic en: “That is not correct.” 
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OllyDbg - RegisterMel.exe - [CPU - main thread, module Register] 





[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 
lr 44) X 





Running 


66401830 
Be4h1892 
Bnda1u34 
Dap) 
86461898 
6640189 
BE46189F 
66401044 
Dal oe 
GISEGAEISD 
Dap) OD 
Dal OC 
66401561 
Dap) oe 
Bmn4aiadps 
Dal o 
Baqali 
DAD) 
Dap) OCT 
26441802 
660401605 
66401605 
86461608 
86461 60F 
BB4618E1 
HB4 HEE 
664401 GEE 
BE4018F8 
BE4018F6 
BE4G18FB 
66401 4FC 
Bo481181 
Dap) Te 
86461186 
BE461111 
B8504801118 
Bo48111E 
86481110 
Bo481121 
66441123 
p64a1125 
6848112 


seleccionamos 









1 Apa D 





mo s zs n BR Gom dpm a a s nn n m s dia ms sms m m as gg ng Ars m zën m- 8 


X 


H 


ES 
E 


r5 
6A 


FF? 
ES 


E 
a370 DC 14 





E-Zpooopg 
18 


HA 
ma 


5 8s 
Dopogopog 


33C8 


ES 
C3 
Gi 


6S 
GEI 


FF35 94584808 


ES 


BS 
SB 
66: 
Tb 


ES 
EE 
BS 
C3 
ES 
AR 


1668 

ma 

EISE SEISISIS 
223384888 
HE 


Canada 
34304800 
EDasmaad 


6 
FF35 94584808 


Don 


D 
5/551551515]5] 
DE 20400 
D 


Hanan 
543044004 
ED 


6 
FFSS 94364088 


21000000 
SSES 
2938304800 
EVES6888 


GUDD 
De 


3D 3433 
B 
panama 
AS 
alangada 


CTFFFFFF 
CA 


rl 








eje Hu] > 
E 
CHF 15 


HE 
PUSH o 
PUSH 


ADR EDa, EAS 
LEAVE 


14 
PUSH El 







PUSH 
PUSH SED 
PUSH DWORD PTR OS: 1463494] 


PUSH à 
PUSH 
PUSH o 
PUSH 


PUSH 3ED 
PUSH DWORD PTR OS: [4603094] 









PUSH 200 
PUSH 
PUSH 3E9 
PUSH DWORD PTR OS: (483894) 
CALL 

HOU EAX, 

HOU EAX, DWORD PTR D0S:[CEAX] 
CHP AX, 3334 
MOL EB, 
JMF 


MOL EAS, 1 














rie FAS. FAS 










EndLDiialoa 


hind = &13F5AC 
EndDialo 


[nus sult = H 
a 
kernel 22, PCEBS4FC 


MB_OK HB. HPPFLHÜLDHRL 
"Register me 1" 
Test = "That is correct'*'" 
hOuner = HULL 
HessageBowh 

Text = "This program 


Style 


Le registeredt™ 
ControlID = = SED (1665, 1 

hind = BREDBRDOC ("Register Me 1",class="#35271 
SetOlgitemTextaA 


HB Ok:HEB. APPLMODAL 


Sty le 
Title "Register me i” 
Text = "That 


is not correct." 
hOwner = MULL 
MessageBox 
Text = "This program is not registeredt" 
ControlID = = SED (1865. 1 
hind = BHEDEEBDC i" 
SetOlagitemTextaA 


Register Me 1" ,classx" #3271 


Count = 266 [(5l2,] 

Buffer = Register. 664430398 

ControlID = = SE9 (1861.) 

hind = BRADARDE ("Register Me 1",class="#35271 
BGetOlgitemTextaA 

ASCII "123456789" 


Vemos que Olly nos lleva al corazón del problema, donde podemos observar un 
conjunto de métodos separados. Comprobemos desde donde son llamados. 


Nos situamos al principio de la función, hacemos clic con el botón derecho y 


“Find references to” 


OllyDbg - RegisterMel.exe - [CPU - main thread, module Register] 


[c] File View Debug Plugins Options 
la 44) X 


Running 


86461880 
60401832 
40401694 
40441098 
40441894 
604016830 
agaa1iasr 
60401644 


46441 GAA 
46441 BAC 
264401061 
6646106 
66401083 
86461660 
ae4e1eCe 
BRAC? 
46441600 
664641602 
66461603 
66461605 
86461608 
a68461Ó0F 
464416E 1 
DA) DEG 
naqal GEE 
AE4610F 8 
BE4610F6 
AG4616FB 
8E4616FC 
66441161 
66441166 
8646011566 


66461130 
ARF 1353F, 


4 


| 
| 
| 


= dim » wo» o» x 


= dpe 
ZS o 000 200 
OC EEE = 
e cn oa ea mou 
LL LEE IL EE 
m 
D IO 
ZA m 
m 


ES 





E2aBaaaan 


EB 18 
aarD mc 18 


FFS5 94364060 


ES 
C3 
6S 
68 
68 


FFS5 943840868 


ES 
ES 


SEA 
BG! 


r5 
ES 
EB 
ES 
C3 
ES 


Ë 
ES 
C 


asa 
Dopopoog 
B 
1688 
na 
paa 
23304044 
B 


L 299 
24304800 


e EDa3anan 
FFS5 943840868 


DOG 
GIS 

11/5155 15515] 
DE 20400 
B" 

Habana 
54344404 
ED 
91868888 
a/a ls 1515515] 
92344064 
EVeaSe888 


GHG 
295304000 


B 
3D 3433 
Br 

1151515151515 
B5 

01000096 
CPFFFFFF 


ARCA 


Local call from DAD 


all ii 





Window Help Tools 


ko a dy a 











w 
E 


^i 





e 
Et 
a 


if 


al 







"00 
[ees im 
DO) 
SE E 






D 
a 
m 
D 
Ka 


mo 
Iu 
= 

mm 


ba 


DI m Qe 
m 
a 





"nmm 
Si 
wooo 
LLLE 


DWORD PTR OS: [483494] 


"00 
LEES 
eu 
EE 


ZED 
OWORO PTR OS: C4602094] 


SED 
DWORD PTR OS: [4683694] 









U 
HOW EAM, DWORD PTR Dës LED! 
CHP AM, 3334 


JZ 
HOU EAS, D 
OU ERE, 1 







rg FAs. FAS 


Y Olly abre la ventana de referencias: 


BreakPoint-=> 


-> “Selected command”. 





kernel 22. ?CARARAEN ad 
k 
- ja] x 
Lig x 
E — | HEN 
E — | HN 
8 —| HH 
EndDialoa P 





Result = & 
[tino = cce 
Endblialo 
Gens TÉSBHSAFL 
Style = MB_OK1MB_APPLMODAL 
Title = "Register me 1" 
Test z = "That is correct't" 
Backu + 
H am ls registeredt™ 
Copy k Ion, 
i Register Me 1" ,class="#5271 
Binary F 
Assemble Space PLMODAL 
me 1" 
Label t onrrect,." 
Comment A 
Breakpoint p [am LS not registeredt™ 
HAB. 1 
Hit trace p Register Me 1’, class="#52r) 
Run trace k 
we chew Wi"? 
Mew origin here (tri+Gra . 
3 ¥ Register Me 1" ,class="4327, 
50 Eo + 
Follow in Dump k 
View call tree Ckriz-K 
Search Far + 
Find references + Selected command Ctrl+F. 
View k 
Copy to executable k 
Analysis d 
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OllyDbg - RegisterMel.exe - [References in Register:.text to 00401003] || xl 
[R] File View Debug Plugins Options Window Help Tools BreakPoint-> -lej sl 
Running EA M Hj AO Bel I) a =| 
Address | Disassembly Comment A 





Hod49lpcCp CALL Register. 66441403 
BE461803) PUSH B 


[Initial CPU selection) 


Vemos que hay un call a esa función. Hacemos doble clic y estudiemos su estructura. 


OR EA, EAS 


pb64b166S |}. BECA kerne Loe. (CSBS4FC 





BE461668 || r rE BC 

6646166. ES 39000600 

GIEF ES ERBamaan 

analis v| EB 2c 

Bm4alar?3 || > ES 56066066 

GESELL a 2 

BE4618RF |> 8170 18 ECasaamna| CHP ,SEC 


Podemos ver de forma inmediata que el “bad boy" es llamado por la dirección 401078 y 
que existe una instrucción de salto en 40106A que nos lleva a ese CALL en 401078. 


Si subimos unas líneas más arriba podemos ver el CALL que comprueba la rutina 
salto/comparar que hemos visto anteriormente. Podemos concluir entonces que el CALL en 
401063 es el CALL principal que comprueba la rutina en 4010FC, responsable de comprobar si 
el programa está registrado o no. Después de regresar, el registro EAX comprueba si su valor es 
cero o no, y si no lo es, tomaremos el salto hacia el *bad boy". 



















































































OllyDbg - RegisterMel.exe - [CPU - main thread, module Register] m |= | x 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> -|| x 
z r1 " " " BR —| NEN 
Running edd X| Kill bat And ali 5 HAT 
66461653 p 
He461868 (ES Es, EAS kernels32.rC8SBHS4FC 
Eds 1usa 
Eds 1usc S5000000 _| 
66461471 BODDDDDp " 
66401076 2C 
6646816873 Ed 
6646816870 
BE46187F D 18 ECG CHF 
6646148565 LC 
6646814855 He Result = Ø 
DA LD 8 [tina = = oni 2FSAC 
64461850 EndD ialog 
He4e1892 : | 14 
66416394 2 Ej E CHF 
6640193 a TE BH 
pag] PUSH E Result = & 
pidas 1m PUSH [tino = BE1SFSAC 
Be46189F ; CALL EndDialaa 
6646816A4 33 AUR EAS, EAS kernel32.rC8BH34FC 
BE461686 ru LERUE 
Be46188r C2 1668 
BE461688 5H Bl Style = HB DEI HPPLHODRL 
HAL DU =- S DHZ2EADp Title = zu ne me 1" 
6401061 » DÉI 23304004 Text = "That iz correctt™ 
Edda . EA D hOwner = = HULL 
HE46 166s . Es C399gpp MessageEoxA 
66481480 . DÉI 34264066 PLISH Text = "This program is registeredt" 
Be4618C2 . 68 EDasamadag PUSH SED ControlID = SED (Loop, 
Be4618Cr , FF35 943564008 hind = opp ("Register He 1’,class="#3271 
Be4618C0 : ES BABE SetDlaltemTeutH 
664681602 ees 
BE461805 |rs 6A A Style = HB ükKiHB RPPFLHODRL 
664681605 . 65 DDZ2DADDD Title = "Register me 1” 
64461408 F HESH4HH8 Text = "That isa nat correct.” 
64461 DIE hOwner = HULL 
64010E1 MessageBox 
Haqi HEE H Text = "This program is not registeredt™ 
HE4616EB Gë EDS S00 ControlID = = SED (1665. 1 
Ed dr FF35 34364000 hind = GSEBORBDC ("Register He 1" ,class="H4327 
pidas murs ES 31568888 SetDlaltemTeutH 
66461AFE se 
664681AFC ES DDD2DDDD Count = _ 268 [512.1] 
66461141 62 9330400 Buffer = Register DHA 
6646811065 5S8 E9030006 SES Control ID = SES [18 Bg.) 
66461106 FF35 34364668 PUSH DWORD PTR OS: [463694] hind = Baanaanc ("Register Me l',class-'i327 
66441111 ES GDDDDDDp GetODlaltemTeztA 
06461116 BS 99030400% MOL EAs, Regis er. B64026095 ASCII "123456789" E 
4 k 





Comprobemos nuestra hipotesis y pongamos un Breakpoint en 40106A. Reiniciamos la 


aplicación. Introducimos un serial y nos detenemos en el Breakpoint despues del CALL que 
comprueba la rutina del registro. 
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OllyDbg - RegisterMel.exe - [CPU - main thread, module Register] 






[c] File View Debug Plugins Options 


ad4aimgss 
agdaiagsB 
addaigss 
604016834 
404416839 
40441830 
60401641 
agdaig4z 
66401647 
60401049 
40441650 
464416852 
60401659 
60401656 
6040165E 
46441663 
46441655 


60401660 
60401671 
agda1l0?6 
GEESS 
Be481870 
BE40187F 
BE4H 1836 




















Window Help Tools BreakPoint-> 


WHE AAI Hie 


SBEC MOLI EBF, ESP 
SE 18616680) CHP 1148 


GG E*9B2aBan PUSH 3E9 
FFr5 ma PUSH 


l| dd X 





b- | Il 





"i 








ai 
















[nina = mpmmneaarFz 

ES 359010000 CALL GetOlalten 

cH PUSH EA hind = paganai 
SetFocus 


ES 46610666 
EB SE 

2170 ec 11616668) CHP 
r5 d2 JMZ 
S170 16 EBB3BBBB| CMF 
ro 24 


. DAP nua MOLI EAS. 

» H3 94304060 HOW DWORD PTR OS: [463694], EAS 
» ES 34680886 

AECA OR EAs, EHS 
ro BC 

, | ES 39000000 
, | ES BBBaaasan 


EB EL 

ES 55Bnmanmna 
EB 25 

8170 18 ECH3BBaB CHF 
r5 LC Hg 











































im? 


ControlID = 3E9 (16611, 1 





=18] 
-lē 


Ix Ix 







("Register Me 1" ,class="#S27) 


Ayudemos a Olly para que no tome el salto, haciendo doble clic en la bandera Z, y 
ejecutando el CALL que nos llevará al “good boy". 


OllyDbg - RegisterMel.exe - [CPU - main thread, module Register] 








Ba401a8029 
66441482B 
Bpa401a832 
66481034 
66401033 
664814830 
664481641 
664014842 
6644816847 
66481643 
6644816856 
66401052 
664481059 
66461 05E 
DATE 
DodpTl De 
66441465 


EET 
Ba4diari 
e461 G76 
SECHER 
SEHR 
SECHER 
SE 
00481088 
SES 
SECH 
SEH 
00481054 
Bede 198 
Beg Ban 
SEL 
SEL 
20481044 
Be46 1 GAG 
Bede GE? 
SE 
SECHS 
60481061 
20481086 
Baa BES 
Beg BED 
SES 
SECHS 
SEILER: 
20481902 
80481903 


A ET E. 


4 


[c] File View Debug Plugins Options 


Window Help Tools BreakPoint-> 


ss sspe 


MOL EPP. ESP 
CHP 


He 
BUSH SES 


PUSH "— 
CALL 


PUSH EA» 


=| 44) X 


SBEC 
S170 Bc 16610066 
pa Ds 


Es La] 
65 ESB2aBmmH 
FFFS 0S 

ES 39816888 


BB 

ES 48616646 

EB BB 

S170 6C 11616688 
r5 de 

siro 16 EBB3aBmBa 


ro 24 

SB45 HS 

H3 94304006 
ES OAI 


ES 39000000 
ES Boaooooe 


EE 2C 
ES Een 
5170 18 ECBSBBBBG 
SLE 


GH BB 

FFr5 ma 

ES E2HBBmam 
EB iH 

S270 AC i8 
r5 BA 

GH BB 

FFr5 DG 


ES Dpoannoe 
saca 


| Il + 


CantrolIO = SE9 (1881.1) 

hind = GHHEERFS ("Register He 1",c 
GetOlaltenm 

hind = ki 

SetFocus 


| 


EAS, 
DWORD PIR OS: [403894] 


OR EAH, EAS 


pu 
nu EAS 


Result = HH 
hind = BRARBSRAF ("Register Ne If, 
EndQialog 


| 


Result = H 
hind = BHBEEEFS ("Register He 1',c 
EndLiialaoa 


| 
| 
| 


(Style 


1888 
D 
um nasa 
| 233B4nan 
BE 
a COBRRRAE 
| 24204004 
Gë EDa3anman 
FF35 94304060 
a BEnaaaad] 


EA BB 


Pee A NENNEN 


HB. OKIHE RHPFLHODRL 

Title "Register me 1" 

Text = "That is cnorrectt" 

hOwners = ĦOLL 

Hes=ageBoxA 

Text = "This program is registered 
CaontrolID = SED (1665. 1 

hind = BaameagFz ("Register He 1",c 
SetDlaltemTestH 


ME OK!MB RPPLHODRL 


Sty le 


SEO 
DWORD PTR DS: [4436494] 


rt | 





Pulsamos F9. 


Register me 1 X] 


That is correct! 


Hacemos clic en “Aceptar” y .... 


Baa 
CCIOEGOE 
rCalEB94 
palam 
pnalsrFEr&a 
malaFBrü 
66481023 
6613FEDS 


6644146 


ES Bg23 
CS BBalB 
55 Bag23 
Ds maa 
FS BZB 
GS maa 


LastErr 
maaaaaz42 


empty 
empty 
empty 
empty 
empty 
empty 
empty 
empt u 


Baa 
BerF 


zd. 
B. HIE. e 
+UHORM 1FS6 mamsmar4 E 
6. 3242444574513 36052Zhbe 
+UHORM 3E16 BEEEERSE F 
+UHORM SESE malsFEdC E 
-UHORM FE44 mamamam E 
a e eee 


Cond 
Prec HEHR,53  Hask 


=lē| x! 


weerse,. rróaFasF 
ntdl lL.KiFast Systeme 


Register. 0401425 


Register 66481064 


32bit BC FFFFFFFF) 
32bit Sl FFFFFFFF) 
32bit BLFFFFFFFF? 
32bit Sl FFFFFFFF) 
3aebit YFFOFSSe( FFF) 
MULL 


ERROR_SUCCESS [HHE 
( HO, HB, E, BE, HS, PO, E 
416599521427 7941916 


oa 1 al 


odo Err 8 8B 
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Register Me 1 X] 
| This program is not registered! 


| 123456783 
Check, Serial Cuit | 


Bueno, paraece que seguimos estando sin registrar!!! Tiene que haber algo que hemos 
omitido!!! Volvamos pues, reiniciar la aplicación, introducimos un serial y dejamos que Olly se 
detenga en el Breakpoint 40106A. 


OllyDbg - RegisterMe1.exe - [CPU - main thread, module Register] | o P |= |x| 
[e] File View Debug Plugins Options Window Help Tools BreakPoint-> = [2| x| 














ex 44| X 


= EB 5B 
> 8170 mc 11616666) CHP 
r5 42 JHE 


L 







hh: + =: 












£j d 


111 


iz? 


a f Registers (FFU) 


EAX Hp) 


46441447 
amn4g1849 
464481456 





av (a 
SCC || iv 2E ea ne ze FOX Eegen nedll-KiFastSystent 
Ha Ok TE D 
66461658 5645 BS MOLI EAX, EBX BaBBmDBBS 







: ESP @@1SFera 

HOY DWORD PTR OS: (4838941, EAX EE SE uc BIEN 
Eegister. 

OR EAs. EA EDI a@1SFe08 


EIF Ba48iB56H Register. 464616860 


CB ES 6623 S2bit BIFFFFFFFF1 
CS malB 32bit BrFFFFFFFF) 


55 HH23 32bit BIFFFEFEFFFI 
ne 6472 22hit DIEEEEEEEE) 


DAT DEE AS 94304006 
46441463 ES [4688868 


664081063 HECHA 
BC 


BE4H18EC ||. | ES 9606000 
bedalari |]. [ES aaa 
BB4gimr"e || .~| EB d 
BE4H187S |] > SES 56000000 
BE461870 |] .~ EB 2 






"Lu 
m cc 


Si obligamos a Olly a no coger el salto hacia el “bad boy", la aplicación seguirá 
ejecutandose en la dirección 40106C donde hará una llamada a la dirección 4010AA. 
Estudiando la rutina 4010AA podemos apreciar como se abrirá un cuadro de dialogo con el 
mensaje “That is correct" para seguidamente cambiar la etiqueta de la ventan principal a “This 
program is registered". 








OllyDbg - Register Mel.exe - [CPU - main thread, module Register] E A E 
Window Help he BreakPoint- > |] 





File view Debug Plugins Options 

















60401059 TS JF ae Pe DITE E 
BR4RIBSE |]. MOL! EA, 

HRAnLDEE ||. H3 242384888 | HOL DWORD PTR DS: [4603094], EAR 

DAD DE ES 346080808 JE H Si 





Rent, bi EAN, BAX 
fasdgieec ||. [Es 29000000 | 
sa4niari ||. | Es easccoan 


Baqalar ||.-|EB 2C 
BE4H187S ||» SES S56B0b0B00 
amdaig?D ||. EB. 25 

BE4G1G7F |} = 510 18 ECOS66B0 
pB64B1686 || -x r5 1C 


66461035 . ABA Result = a 

Be461 888 i ERR DS [hing = DDGcDDEZ ('Register He 1 ,clas=s="+3277r0") 
mudaimsn .—A ES Eapppoppp EndDialog 

Aa4h1 692 Se EB 16 

gaadimms > 8370 Bb 18 

padadidmas ve PE BH 

Be461894 . BH An Result - B 

66460143 ev EEE H8 [tina = pa OOB7ODFZ ("Register Me l',colass-z'a42zrrB'! 
B64a1a3F , ES Dama EndDialog 

BS461684 - 3300 

AB461686 HB; Ea 

He4a1 HAr . Ce 1006 

Be46100A Ir$ 6A muB Style = HE. ükKTHE RHFFLMÜDEFIL 

66da1Anc . DÉI 03040A Title = "Register me 1" 

BE4G1681 . DÉI 233040046 Text = "That iz correct t™ 

paşi BE . EH HB hOwner = HULL 

madaidps . EB COBRA HessageBosH 

BHE461 560 . &8 34364000 Text = "This program is registeredt" 

Bda . &8 EDASOBAA ContralID = = SED (1885.1 

Adal BCT . FESS 945304606 hulnd = Baar ARPS "Register Me 1l',olass-z'qsszrrB'] 
gaaadtiac . ES BHBaBBaaá ¿LSetDlaltemTestA 

gaadadidpiz "TEN eg ECH 

BE4G1505 |p2 6A uu Stule = NB LOK PMB BFFLHÜODRL 

668461405 .J B8 604000 Title = "Register me 1” 

Be46160R . B8 HESBdBdÓ Test = "That iz not correct." 

pasdaiaunF . BH B hBuner = HULL 

AB4618E 1 . ES DDGDDDDD MessageBox A 

He4616E6 , 635 56364006 Text = “This program D not reaizstered*" 
maudgdidEB . && EDGZpDpDDp Control = SED 110605 

gadaiadrag » FESS 94304008 hind = Beaam?zBaiEZ ¡"Register He 1", class=" #32770" | 
BE4G16F6 . ES 291664600 SetDlaltemTestH 

BaaadidgFBE x La 

BE461G5FC [rs 68. mmmsaaad cu = Count = 288 (Ei2.] 

6461101 . DÉI 95304000 Register. BBs 8 Buffer = Register. AA AS 

ae4aliaé ||: 68 Esasesoa | PUSH SE pae ontrollg = SES LEE kees -| 
4 k 
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Ahora, una vez que hayamos regresado de ese CALL, hay otro CALL en 401071. 


Este CALL a su vez llama al CALL en 401130. Echemos un vistazo a esta ultima rutina. 





Lo primero que vemos es que llama a SetDigItemTextA pero con una cadena un tanto 
peculiar. Pulsemos F8 y vamos paso a paso. En 401130 se está llamando a la dirección 4010FC. 
Del analisis anterior sabemos que coincide con la rutina que comprueba el serial. Luego 
compara, con la instrucción OR, EAX consigo misma para ver si vale cero. Si no vale cero 
realizará todo un conjunto de movimientos que vienen a continuación: 





B6461138 |r$ ES CTFFFFFF 

BE461155 |. BBCH 

DALL, 74 33 

ag4siiz9 |. B9 LE 

ae4siizE ||. BE maaaesas 

anm4g1143 ||. 33C 

am4Bii45 || > SAGE ra3s4mnnn "MOL BE, 

BE461146 ||. SS5FB 2C ADR EAs, 2C 

e461 146 2956 16304406 MOL BYTE PTR DS: [ESI+4483B71b], 

b64B115: . 46 IHC ESI Register. 004681825 

Dap) LIEGE, Ee EE 

BE46115F |. 68 rasa4aas PUSH Text = "WDE ug EK HOA OCE CB BC TEE XI^IH*r"' 
BE4S115C |}. 68 ED PUSH SED ControlID = SED (1685, 1 

ae4siiel |}. FFSS 94304006 PUSH DWORD PTR DS: [483694] hind = BBBrBBF2 ("Register Me 1" ,class="*32711B" ] 
BE4G116° |}. ES 20000606 SetOlgitemTextaA been 

padali ¡L> C3 


Resumiendo, después de parchear la aplicación para que saliera el “good boy”, se 
invocó otro CALL, y dentro de ese CALL se volvió hacer otra llamada para comprobar otra vez 
la rutina del serial, realizando de esta manera el mismo analisis sobre el resultado. Esto se 
conoce como “backup check”. Averiguemos lo que sucede si no pasamos este segundo “backup 
check” (Sabemos que no lo vamos a pasar porque solo parcheamos el salto). 


Primero se carga 1F (31d) en el registro ECX. Después se carga ESI con 0, y EAX se 
compara a si mismo para ver si vale cero. Acontinuación entramos en un loop. La primera línea 
del loop mueve un byte de la dirección ESI+403070 al registro AL, y como sabemos que ESI es 
igual a cero, el valor coincide con la dirección en 403070. Veamos lo que hay en esa dirección. 
Para ello nos situamos en la ventana Dump y seleccionamos “Go To” -> “Expression” e 
introducimos 403070. 


xl 
[403070 ¥ | 


Cancel | 





| Te 44 45 BF BC SC BE 43 46 SE 40 41 BC 45 BF BC BEC SEE SS ES 
H2uoB|42 43 58 BC SE 49 4B 45 SF 52 49 SE 49 45 AD ou BLA. “IKE_AISIH,. El 
> st 12345678 


m 

1 
E 
Cl 
GG) 
Aal 
Aal 
al 
El 
El 
Aal 
al 
GG 
Aal 
Aal 
al 
El 
Aal 
Aal 
al 
Aal 
a 
Aal 
al 
Aal 
a 
Aal 
al 
Aal 
a 
Aal 
al 
Aal 
a 
Aal 
al 
Aal 


721 BR ma 66 66 BE 66 66 66 66 66 66 D 66 DR DH HA fle 


CH 
a 
a 
m 
El 
a 
a 
m 
m 
a 
a 
"m 
El 
a 
a 
m 
m 
"m 
"m 
mi 
mi 
"m 
"m 
m 
m 
"m 
"m 
al 
al 
"m 
"m 
m 
m 
"m 


^J CP CT] E Co P GTM CO ED TS «D 
D o A IERI RAT 


Ia Eie Ew Bn E Ee o E Ee E E Ee Ee Ee Ee 
OO OO OO OO OU OO OU OO OU OU OU OU 
RA A A A A A A A Bac a 
uw Eie Ew Bw o Ee Eo o Em 

El 

Aal 

5l 

[in 

[in 

Aal 

5l 

[in 

[in] 

Aal 

Aal 

El 

El 

Aal 

kal 

Aal 

5i 

Aal 

Aal 

Aal 

al 

Aal 

El 

Aal 

5i 

Aal 

Aal 

Aal 

5i 

Aal 

5l 

Aal 
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Si nos fijamos bien, podemos ver que coincide con la cadena que se pasó como 
argumento a SetDigltemTextA. Así que carga el primer carácter de esta cadena en el registro 
AL. 


Siguiendo con el loop vemos que se compara ese caracter con 2C para guardar el 
resultado de vuelta en la misma dirección de la memoria: MOV BYTE PTR DS:[ESI+403070], 
AL. 


Por ültimo incrementamos el registro ESI y hacemos un LOOPD. LOOPD significa 
disminuir el registro ECX en uno y continuar con el loop hasta que ECX sea igual a cero. 
Podemos concluir con esto que el valor que ha sido cargado originariamente en ECX, 31d, 
coincide con la longitud del loop. 


Después de completar le loop obtendremos el siguiente resultado: 





OllyDbg - RegisterMel.exe - [CPU - main thread, module Register] 2 EI 
-|| 


[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 
Em 44 X| Kill Be xl 5 


A 
5 














Ca 
ES CTFFFFFF 
GECA OR ER ER 


MOL ECA, 1F 
MOL ESI,8 
BOR EAA. EAS 
HOW AL, BYTE PTR DS: CESI1+463474] 
HOR EAH, zL 


v r4 23 
ES IFaamaans 
BE ümaamaans 


. 3308 
A E: riim 





6048113E 
66461143 
46461145 
46461146 





SSF 2C 





46844114E 29856 vD2D4ADDD HOL BYTE PTR OS: CESI+4836748],AL 

468441154 46 IHC ESI 

00481157 SC PUSH Text = 

66441155 66 ED FUSH SEO Contro 

66441161 FF35 94364060 PLUSH DWORD PTA OS: [403694] hind = HULL 

Ha4h1167 ES 2 Set[lialtemTestH 

6441160 C3 

66441160 CE IHT3 

HA46116E $- FF25 24204066 OWORO PIR OS: [<2usecrc32.DialogBl users32.DialoaBasFaramH 

Ha4h117r4 $- FF25 15204066 OWORO PIR OS: Ct&usersz.EndDial) users2.EndDialog 

Ha46117A $- FF2S 16204066 OWORO PTR OS: Ct8userse.GetOlgI| uzerzz.GetDlaltem 

6441134 $- FF25 20204066 DWORD PTR DS: Ct&users2.GetOlgI) user32.nGetDlaltemTestH 

44411236 $- FF25 AC26446 OWORO PTRA DS: Cituserse Message) user32.HessaaeBosH 

468441180 $- FF25 122044666 OWORO PTR OS: [<kusec32.SetDlall user32.5etDllaltemTestH = 
a 5 FF25 14254066 OWORO PTR OS: Cituserse. SetFocul usersc. SetFocus 

4 k 
DG: (AB48385F 1-588 

BIS 

Jump from BB4B1155 

Address | Her dung Lett 


BE40S87H)54 65 69 nm zB CH fe 6F/[6r r2 61 60 20 69 73 26 
BE40S8SH/6E GE ?4 26) 12 65 67 69 15 r4 65 r2 65 64 21 op 
a0405090/ 08 66 a EK D 66 66 66/66 66 ag 60/60 66 66 op 


LS program LS 


"EI 





not registeredt. 


Volvamos a la rutina que verifica el serial: 

















BaasBiBFC fs 68 mBamesana PUSH 288 Count = 2686 (512.) 
BaanpiiBi . 58 983040466 PUSH Buffer = Register. 0403498 
46441166 GD EUB3BmHBamB PUSH 3E9 ControlIO = 3E9 riBB1.] 
46441166 FFS5 943846868 PUSH DOUD PTR DS: (485694) hind = NULL 

Q6441111 ES GUDD GetOlgltemTextA 
Q6441116 ES 92344464 MOL EA, 

BE4G1116 SBHH HOW EAS, DWORD PTR OS:CEAs] 

66461110 66:30 3433 CHP AX, 3334 

664a1121 e TS Br HZ 

b64B1123 ||. ES maacaaans MOLI EAR, D 

BE4H1125 |] .~ EB 65 

am4miizH |} > ES miagaaaas MOLI ERR, 1 

Bm4mgiizF [Ls CS RETH 


A] principio de la rutina tenemos un CALL a GetDigltemTextA. Hacemos clic con el 
botón derecho en la instrucción de la dirección 401101 (vemos que apunta al buffer donde está 
almacenado el serial) y seleccionamos “Follow in Dump". Después de pasar la instrucción 
GetDigltemTextA, podemos ver nuestro serial en el buffer: 
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OllyDbg - RegisterMe1.exe - [CPU - main thread, module Register] l = (el 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> = | =| 


See déi SI KU ee] ob IS 










ai 






















madame BA Be PUSH & hüuner = AULL E 
HE461568 . ES C3000000 MessageBoxA 

64461 DD » 68 343584088 PUSH Text = "This program is reaistered*'" 

HE4618C2 . 65 EDRSERRE PUSH SEO ControlID = SED (1865.1) _| 
mida]? .  FFSB 343564008 FLISH Ene EP b iA eRe DIR DS: [463694 ] hind = BHEEQEF2 ("Register Me 1*,class="*327r710" 1 

6644814Cc0 . ES BARBARA SetOlgltemTexta 

46441602 ES 

468441403 S 6A HB PUSH H Style = MBOK i NB_APPLMOOAL 

6684481405 . 65 BESR4h68 PLISH ae eee Tons = "Register me 1” 

ridi 1 8LB . 65 BESR4h68 FUSH st = "That is not correct," 

riri 1 50F = ÈA GË PUSH & Mee = HULL 

4646816E1 . ES nmananaa CALL o emm MessageBouA 

64461 DEG, » 68 543484464 PUSH Iu = "This program is not reaistered'*" 

HE4615EBR . 69 EDRSERRE PUSH SEO ControlID = = SED (1865.1 

HE4615F .  FFSB 343564008 FUSH EORR ENS SEE OBTENER DIR OS: [463694 ] hind = HEE EFS ("Register He 1",classx"#S27 7H" ] 

66441aFE » Es 91686668 SetOlgltemTexta 

BE4615FE a [Ge 

He4618FC £ 69 HB PUSH 244 Count = Z600 [512,1 

66441161 . 69 95304000 PLISH Buffer = Register. pidas i —À———— 

66441105 =- 65 ESAS PUSH SES Control = 3E9 1 1001. U 

6604481106 » FF35 343646008 PUSH OWORO PTR DS: [463694] hlind = BRHEEQGF2 ("Register Me 1*,class=="*327710" 1 

66441111 = ES GDBD GetOloaltemTextaA 

HA461116 . ES 923046864 HOL EAR, ASCII "123456789" 

6644411186 . SBE HOU EAR. OWORO PTR DS: [EA] 

66481110 . 66:30 3433 CHF As 3334 

664481121 v FS He AN 

66441122 . BS aima HOU EAS, 6 

HH461125 aw EB H5 

6461120 > BS HiBmmimna HOL EAR, 1 

apartar [L> cs E 
4 F 
HadnasmsagczRe 

ASCII F 


madm3Bag|31 32 33 34 35 56 37 358/59 66 66 66 66 66 am mna 
BEFIESHRS| 66 66 66 BE 66 66 66 66/66 66 66 dm] 66 D Du Op 
DAD) 66 ma 66 66 66 66 66 BE Be DU 66 66 DU D 06 dB 
6462/66 ma 66 66 66 66 66 06/66 66 66 66 BB BB 06 dB 
BE4ES505) 668 66 66 66 66 66 DD 66/66 66 66 66 66 66 66 ma 
madm3BES|ma 66 66 BE 66 BB BB 66/66 66 BB Be 66 D BE BB 
BEIESEF S|) 66 66 66 66 66 66 66 BB DU 66 BB 66 66 D BB Op 
b6468105| 66 ma 66 66 66 66 Hö 06/66 66 66 Hä DU D 06 dB 
6646311566 ma 66 66 ma 66 66 Hü Hö 66 66 66 66 BB 06 dB 
b6463123/66 ma 66 66 ma 66 66 66/66 66 66 66 DU D 06 dB 


6646313866 BB D BB BE DH 66 D D BB BE D BE BB BB BB "| 
AGS AC AA AA AA op fara (afa AA DD (afa AA fara DD rara DO AA DO 
k 





4 


Una vez almacenado en el buffer, la dirección del principio del buffer es movido a EAX 
seguido del contenido de esa dirección. Esto basicamente moverá los cuatro primero bytes de 
nuestro serial a EAX. Estos bytes se compararán despues con 3334, y si no coincide, EAX se 
cargará con un uno (lo que es malo), en caso contrario, si coinciden EAX almazenará un cero 
(lo que es bueno). 





nn4ni116 ||. Be ssss4ann | 
66461116 ||. sBae 

66481110 ||. 66:30 3433 CHP Ax 5334 

paga1121 ||.- v5 87 

padali |: Es 6600000 HOL EAX, G 

ae4caiize ||.- EB 65 JMP SHORT Register. 0048112F 
anasiisn | * Be 610000048 | 
an+a112F |L» cs 


Podemos ver que la principal toma de decisión se hará en 401121. Esta línea 
determinará si EAX va tomar el valor cero o uno, justo antes del regreso. Así que lo que 
haremos es garantizar que el valor de EAX sea siempre cero: 


Assemble at 00401121 x| 
|NOP + | 


Iv Fill with NOP"s Cancel | 





BG401118 ||. gpeg HOW EAX, WORD PTR OS: CEAX] 
Ga4G1110 ||. 66:30 3433 CMP AX, 3334 

BB4B1121 29 HOP AH 
BB8481122 28 HOP 

00401123 ||. ES Gopoooog HOU EAX, E 

BB4Biiz8 ||.» EB 65 

Be4Biizn ||» ES 61000900 HOU EAX, 1 

gadgii2F |L> cs RETH 


De esta forma el código siempre caerá en la instrucción MOV EAX, 0 para saltar a RETN. 
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Ejecutamos el programa: 


Register me 15 X] 


That is correct! 


Vemos que después del CALL que realiza la comprobación del serial, saltamos a nuestro “good 


KK 


boy”. 


aagalisa les EB CTFFFFFF CALL 
3 OR EAX, EAS 





40441135 

ag48113r e KS |] 

404401139 B3 M3515/5151515] MOL EN, 1F 

Baga4a8113E BE Bümaamaas MOL ESI,H 

60401143 334 ADR EAS, EAH 

60401145 BASE CD2p40p0p MOL AL,BYTE PTR DS: [ESI+4630716] 

60401146 esra 2C ADR EAS, 2C 

ag4a114E 2556 rüasa4man MOL BYTE PTR DS:LESIT4G3878],HL 

60401154 46 [HE ESI Register. b6401825 

60401155 Es EE 

agdag1ib5r 63 ruza4ans PUSH Text = "WDE_>=RBE>>S “CE MAS HBCE_ > ACECHAR OC IKE SIIH" 
6048115 63 EDasmaans PUSH SED ControlID = 3ED (1065, ] 

660401161 FFS5 94364666 PUSH DWORD PIR OS: [4683094] hind = BasisBüF2 ("Register Me 1", class="#32776" J 
agdag11er ES 26808888 SetDlaltemTextA 

66481160 

Dap) Let INTS 


Y después de la segunda comprobación tambien saltamos al “good boy”. 


Register Me 1 x 





Conclusión: hemos encontrado un parche que registra nuestro serial independientemente de su 
valor. 


http://masteracsi.ual.es/ 


7.10 Caso practico 10: Crackeando un programa real 


Nota: el trabajo y esfuerzo que un desarrollador de software pone en su proyecto bien merece 
la pena ser compensado de alguna manera. Este ejercicio no pretende ser un llamamiento a la 
pirateria, pero si un desafio a la inteligencia humana. Si realmente consideramos que debemos 
poseer una aplicación para su uso y disfrute, seamos honestos con nosotros mismos y demos al 
programador la remuneración que se merece. 


Instalemos la aplicación en nuestro disco duro. Una vez finalizada, nos aparece la siguiente 
ventana: 


E TreeDBNotes Pro 4 (4.25) Setup EN [I 


Completing the TreeDBNotes Pro 4 
(4.25) Setup Wizard 


TreeDBMates Pro 4 (4,25) has been installed on your 
computer, 


Click Finish to close this wizard, 


IM Run TreeDBMotes Pro 4 (4,25) 


[ Show Readme 


Visit Web Site: hEEp: www, mykreedb.cam/ 


TREEDBNOTES PRO 





=, Back 





Dejamos la pestaña puesta en “Run TreeDBNotes" para ver a que nos enfrentamos y hacemos 
clic en “Finish”. 
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x 





UNREGISTERED YERSION 





Thank you for trying TreeDBNotes Pro 


This is unregistered version for evaluation use only. 


This dialag box will nat appear in the registered version. 





Vemos algunas cadenas de texto de interes como pueden ser: "unregistered", 
99 99 


“evaluation”, registered”, etc. Hacemos clic en “OK” y se abre la ventana principal: 










ET DEMO_PRO.treeDB TreeDBNotes Pro 4.25 (Unregistered) 


File Edit View Tree Folders Notes Contacts Passwords Tasks Tools Help 


Of] TreeDBNotes U , TINTE 8] Contacts Demo. E Passwords Demo 


| Notes Folder Tree E Iuso "* | Verdana 


| SEO Tools 
= Wingdings 


bs Paragraph SEQ tools demos and instructions 





e Text generator / Anchor generator 


= H Mobiles 
| X. Nokia NOD 
| je E Nokia N93 
— & Motorola RAZR V3 
| 5 c & Motorola KRZR 
MESH Fonts Library ` 


E | dns to install a Font E d Si Line: 1 Column: 1 [NUM] | Spanish | [,—] 00:00 
kelen Gr my el ra || Words: O Characters: O 


MA TreeDbNotes Pra 4,25 Build: 01 Date: 9-Jan-2012 | | "m = eo BN. 





IrprprrEFPFFEFFFFFFTFTF:.- 


Vemos que pone "Unregistered" en la barra superior. Otro sitio donde poder recabar 
información acerca de la aplicación es pulsando el botón “Help” -> “About”: 
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H DEMO PRO.treeDB TreeDBNotes Pro 4.25 (Unregistered) 





File Edit ‘View Tree Folders Notes 


iz 


- LZ = d 

pi 0 y ; 

I Note Dem ae 
E 


F) TreeDEMotes 











Ar 


Notes i Tree 





d Wingdings 
H Paragraph 


r Nokia Hat 

` e Nokia N93 

^ Ye Motorola RAZR V3 
— &. Motorola KRZR 
Fonts Library 
-0 How to install a Font +] 


ke | ¡E |= ae s 


vM TreeDbNotes Pro 4.25 Build: 01 Gate: 


































3] TreeDBNotes Pro 4.25 


Contacts 


SEO Tools 


& Contacts Demo 





Passwards 


z Passwords Demo 


Tasks Tools 








SEQ tools demas and instructions 


D Text generator / Anchor generat 


Bi d od d 444 ud uod odd 





Siu] 














an-20T? | | 


TreeDBNotes Pro 4.25 


Build 01 
Date 39-Jan-2012 


Homepage 


http: / /wuww.mytreedb.com/treedbnotes pro.html 


TreeDBNotes Pro 4.25 (Unregistered) 


Version ID: TDP-4.25-01-8 
Support email: support@mytreedb.com 
The number of launches: 1 
First Start: 2015-08-06 [15-56-45] 
Days: 1 of 30 

[S-Engine: MNAMO] 



























Enter Registration Key 


ae) 





AE (S| Line: 1 Column: 1 [NUM] | Spanish | L-4000: 


Words: O Characters: O 


SE 


DR 
Fo 


re 


-iBl x} 
Help Fl 
Keyboard Shortcuts F10 
e visit Homepage 
- es Visit our Forum 
Cal Tell a Friend 
| Send a Suggestion 
Check For Update... 
Buy Registration key... 


Vemos que vuelve a poner “Unregistered”. Para el caso en que Olly no detecte ningtina 
cadena de texto podemos ir a “Enter Registration Key” e introducir valores aleatorios: 
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E iil DEMO_PRO.treeDB TreeDBNotes Pro 4.25 (Unregistered) 
















File Edit view Tree Folders Notes Contacts Passwords Tasks Tal 
> | Ee rreepsnete TreeDBNotes IB Motes Demo E Contacts Demo | F Passwords Demo. Fl 


foes Shortcuts F10 





"Notes Folder Tri Tree 


SEO Tools 




























: secos =] Send a Suggestion 
— Paragraph SEQ tools demos and instructions 
| Tables Check For Upd 
B ri — ee KSE | poate... 
EET * Text generator / Anchor genera 


m Buy Registration Key... 
x Test Generator SE 









— X. Nokia N90 
— Se Nokia N93 
— & Motorola RAZR V3 
Motorola KRZR 
F ants Library 


-@ How to install a Font us 
Veit? ay ER el Ka =] | werde: D Characters: D 


A TreeDbNotes Pro 4.25 Build: 01 Date; 9 


Registration - X] 


Registration 


Enter the registration information bo register the Full version 







^" [54] Lime: 1 Column: 1 [NUM] | Spanish | (,=) 00:00 ~ 








EUN WC CN dd de 


Registration Mame 


Registration Code 


123456709 





http://masteracsi.ual.es/ 


Registration d Re 





Hasta aquí ya tenemos una idea más o menos clara de lo que tenemos a nuestra 
disposición. Cargemos pues la aplicación en Olly: 





OllyDbg - Tree DBNotes.exe - [CPU - main thread, module TreeDBNa] 
[e] File View Debug Plugins Options 


ex 44) X 


1552-15) 
DEG 
Ae SFE SB 
ASF ERIE 
He SFE SF 
DOE ERAS 
ARSFEARS 
ARSFEARF 
ARSFEHB 1 
He SFERBS 
Ae SFERBS 
ARSFEABO 
ARSFPEACS 
Haar GL E 
ARSFÉACA 
amar enc 
ARSF6AD1 
agar eaae 
DOE eaa 
ASF eamm 
agar eam 
DOE GE 2 
DDOEGDE e 
Ae SFERES 
Ab SFEREE 
agar eara 
DOE GE OG 
ARSFEAFE 
amgareliui 
ASF 16 
BASF E61 aC 
ASF 61 BE 
egareii4 
BBoFÉ119 


4 


55 

SBEC 
2304 FA 
53 


BS 2B84F*SFBOB 
ES CBISHIFF 
SB1D 
3319 
B2 Bl 


Al rcE29rüa 
ES 2°SEAAFF 
SB15 53B5A200 
2902 

Al 

SEA 

ES &BAlAAFF 
Al app 


FF9Z Ssammaama 
SBaS 

ES 45DSHHFF 
SBaS 


BA CCe1 SF ae 
ES 31D4BHFF 
GO FLOSACOA 
SBH3 

SB15 D4BrFSEBB 
ES 3EDSHHFF 
Ga) mBCFFBHIBB 
SBAS 


BB15 92229000 
Es ZEDSAAFF 
25890 BRAZO 


al ILL 


Window Help Tools 
6: a] > 


PUSH EBP 
MOLI EBP, ESP 


MOL EBs, OWORO PTR OS: ER2B56D8 
ADR EL ae ECH 

MOLI OL, 1 

MOL EA, OWORO PTR DS:L9?E2rC1 


MOL ED&,DWORD PTR OS: [A26554] 
HOU DWORD PTR OS: CED], EAs 
MOL ER, OWORO PTR OS: [A26554] 
MOL ERAx, OWORO PTR OS: [EAS] 


CALL 

MOL EA}, DWORO PTR OS: [426554] 
MOL EA, DWORO PTR OS: CEAXI 
MOL EDS, OWORD PTR OS: CEAXI 
CALL OWORO PTR Ds: CEDX+26] 
MOL EAH, DWORD PTR DS: [EEH] 


MOL! EAS, OWORO PTR OS: EEBR1 
MOL! EDs 


MOL EC, OWORO PTR OS: [C[AZ097C] 
MOL EAA, OWORO PTR DS: [EEx] 
MOL EDs, OWORO PTR OS: LESEHFDA 1 


MOL ECA, OWORO PTR OS: CALFFSCI 
MOL! EAS, DMNORO PTR OS: EEBR1 
MOL ED, OWORO PTR OS: [902298] 


CALL 
MOM ECs DWORD PTR Us DER. 


BreakPoint-> 


TreeDbho 


TreeDbho 


HBH2l1BFS 


, HDH ZE 764 


ASCII "TreeDBHates" 


TreeDBHo 
TreeDBhao 
TreeDBha 
TreeDBHo 
TreeDBHo 


, HHH ZE 
, FESEBRSH 
, HDDZGD Cé 
, HRZ ZE A 
, HDD ZE C Hé 


2 





ASCII A 


Command -| 


Lo primero que notamos es que hay muchas instrucciónes CALL y ningúna API de 
Windows. Esto es una buena señal de que el programa podría estar escrito en Delphi. 


Hacemos clic con el botón derecho en la ventana de desensamblaje y seleccionamos 
"Search for” -> “All referenced text strings".Dentro de la ventana (R) hacemos clic con el botón 
derecho y seleccionamos “Search for text”. 
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Address 


86401466 
641416 
6641421 
468441 A2E 
468441446 
a6441A5A 
ab4a1Ar2 
Dal DH 
66401 ASE 
HAS 1 ABS 
AA] ACS 
46441 ADA 
pianura 
6441106 
ab4a1116 
Dal 120 
adhi 132 
adii 13E 
adii i4A 
44844115A 
4644116 
Dall cn 
6441188 
Dal ID 
Dpaol1U 
HA4H11E6 
adhi iE 
HA4H11F 3 
46441246 
6441226 
46441236 
Dal ZE 
Dap) 2Dp 
468441204 
a041 SE 


4 


Disassembly 


ASCII "Boolean" 
ASCII “False” 

ASCII "True" 

ASCII "Widechar" 
ASCII "Char" 

ASCII "Smallint™ 
ASCII "Integer" 
ASCII "Eute” 

ASCII "Word" 

ASCII "Extended" 
ASCII "Cardinal" 
ASCII "Inte4" 

ASCII "Double" 

ASCII "Currency" 
ASCII "hHordBaol" 
ASCII “False” 

ASCII "True" 

ASCII "String" 

ASCII “"WideString™ 
ASCII "lariant" 
ASCII "ülelJariant" 
ASCII “HRESULT 

DD Tree DBNo, 86461108 
DD Tree DBNo, 86461108 
ASCII "Tübject" 
ASCII "Tübject" 

DD Tree DBNo, 86461108 
ASCII "System 

ASCII "IInterface" 
ASCII "System™ 

ASCII "IDispatch" 
ASCII "System™ 

DD Tree DBNo,. f64612FC 
DD TreeDBHao.tmudmuizFc 
ASCII "TInterfacedübJjec'" 


OllyDbg - TreeDBMotes.exe - [Text strings referenced in TreeDBNo:E ODE] E = | = | x] 
[R] File View Debug Plugins Options 


gm dd X| Kill >: 


Window Help Tools BreakPoint-- - [8| x] 
MAR HE He et E 


Text string 


| df Wei 


Follow in Disassembler Enter 
Search For text 

Search next Chr 
Toggle breakpoint FE 
Conditional breakpoint ShiFE-+F2 
Conditional log breakpoint Shift-+F4 


Set breakpoint an every command 


Set log breakpoint on every command 


ASCII BPO O 
ASCII BH? Copy to clipboard d 


Appearance 


ASCII 





ASCII 11,"TInterfacedübject" 
ASCII 11,"TInterfacedübject" 


Command -| 
| Analysing TreeDENo: 23083 heuristical procedures, 6103 calle to known, 12446 calls to guessed functions | 


Hemos visto como las palabras “registration” y “registered” aparecieron unas cuantas 
veces. Hagamos pues una busqueda que contenga los caraceteres “regist”, deshabilitamos la 
casilla de “Case sensitive” y marcamso la de “Entire Scope”. 


Enter text to search for X] 





[| Case sensitive 


Iv Entire scope 


ted | 


La primera cadena de texto que encuentra no parece decir gran cosa, asi que pulsamso 
Ctrl+Alt+L para buscar la siguiente: 


BadH2b524| ASCII "HHIMICOBN",G 


amd4n2FHF| MOL EAS, TreeDEHNo, B64A=2AL 


aB4ASFOA PUSH TreeDBNo,. 86403260 
HE4AS2AC) ASCII "uscltest3.dll",d8 
aR4AS2BE| ASCII "RegisterAutomat i™ 


ASCII "ucltest3.dll'" 


ASCII "RegisterAutomat on™ ln 


Las próximas cadenas tampoco son prometedoras, por lo que seguiremos pulsando 


Ctrl+Alt+L hasta llegar a las siguientes líneas: 


BeSAAIS4 
HESAAI 44 
BeSAALSE 
B49AHA164 
BASAREAS 
MEASAREES 
HESARBCL 
HZH 
HE SAREEL 
HASAREFE 
DD DL 


ASCII "sHotes",ü 

ASCII "IDFolder”", 6 

ASCII "TO", E 

ASCII "Hotellata”, 8 

MOL Eb, TreeDBhao. HESARECE 
MOL EO, Trecho. 869RAC14 
UNICODE "TresDBhNo'"" 
UNICODE "tes Pro ™ 
UNICODE "4,25 (Re'"" 
UHICODE "gistered" 
UHICODE 1", E 







UNICODE "TreeDBMotes Pro 4.25/ Registered] ™ 
UNICODE "TreeDBMotes Pro 4.25/ Unregistered" 
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Hacemos doble clic sobre (Registered) lo que nos lleva al código siguiente: 





OllyDbg - TreeDBNotes.exe - [CPU - main thread, module TreeDBNa] 


[e] File View Debug Plugins Options Window Help Tools BreakPoint-> 
edd sl Kl bai BE adi a 
He SAAB 32 FOP EBX 

He SAAB SS POP EBF 

He SAAB 34 

He SARE SS LEA EA”, DWORD FTR OS: EEHE 
He SAAB SS 5 PUSH EBF 

BmBSHBHE99 S MOL EBP,ESP 

He SAAB SE PUSH EBS 

He SAAB SC MOL EBA, EDS 

He SAAB SE SHBS ES1544666 He) CHP BYTE FTR OS: CEAK+1568)],4 
He SAABAS rá DE 

DOUD e GPL 2 MOL EAR, EBS 

He SAABAS BH CCHBESHAHB OU EDs 

He SAABAE Es S&A9A5FF 

He SAABBS = 5B POP EE 

He SARBE4 » ED FOP EBP 

BOSHABBS ||. C3 RETH 

He SAABBE SBCs MOL EAS, EBA 

He SAABBS BA 14BCc9Buns MOL EDS 

He SARBEO ES 46ASASFF 

He SAABCS B POP EBA 

He SAABCS POP EBP 

aaonngca |U. RETH 

He SARBCS | BB 

He SAABCE ; AE 

He SAAB? ; AE 

DOUD d 

BASARECS AA 

He SAABCA e" 

He SAARBCE D DB op 

He SARBCC . 5466 7266 6566 6) UNICODE "TrecbBHa"" 

He SAABOC r4mm 6566 r300 ¿| UNICODE "tes Pro" 

He SAABEC S468 ZEap 32086 3| UNICODE "4.25 (Re™ 

He SAABFC eroh 6966 73060 | UNICODE "aistered'" 

BRSAACaL: 2908 BARA UNICODE "I", 


4 


kernel32.7C816D4F 
kernel32.7C816D4F 


ntdll.KiFaztSyustemCallRet 


UNICODE "TreebBhotes Pro 4.25 (Regi: 
kernel3z2.705815D4F 
kernel3z.r70C815D4F 
UNICODE "TreeDBHotes Pro 4.25 (Unres 


kernel32.7r05186D4F 
kernel32.7085186D4F 


CHRR 'B' 





En primer lugar podemos ver la dirección en la que se utiliza la cadena de texto 
(9AABAO9) y también podemos ver donde se almacena en la memoria (JAABBC). En segundo 
lugar vemos que ambas cadenas de texto ( Registered" y *Unregistered") pertenecen al mismo 
método (delimitado por la línea negra al lado de los opcodes). También podemos apreciar un 
salto condicional en la dirección 9AABAS. 





OllyDbg - TreeDBNotes.exe - [CPU - main thread, module TreeDBNa] 
[e] File View Debug Plugins Options Window Help Tools BreakPoint-> 


ex de] X 






BEASAABS2 
HESAABSS 
He SAAB?4 
Be SAARBSS 
He SAABSS 
DH 
He SAARBSE 
Be SAAB SC 
He SAABSE 
He SAABAS 
He SAARBA? 
He SAABAS 
He SARBAE 
He SAABES 
BEASAABE+ 
He SAARBES 
He SAABBE 
DOUD 
He SARBEO 
HASARBE2 
He SAARBCS 
Be SAARBC4 
BEASARABCE 
HeSAABCE 
DOUD e 
He SAARBCS 
HESAABCS 
He SAABCA 
He SARBCE 
Be SARBCC 
He SAABDC 
He SAABEC 
He SAARBFC 
SES 


4 


al LL 








LIH 
206S B21560006 a 
r4 BF 
SBCS 
BA CCBHESBRBaS 
ES BB5H9HEFF 
5E 
SL 


Cs 
SECS 


BA 14803888 
ES 46A9ASFF 


5400 7200 6500 6 
74060 6500 7300 2 
5400 2EBB 3200 3 
Sroa 6988 7300 7 
2900 aaa) 





ej ua] > 


POP EBX 
POP EBP 


LEH EA#, DWORD PIR OS: (EAR 


MOL EEP, ESP 
PUSH EB 

HOU EES, EDK 
CHP BYTE PTR OS: CEAxX+1563), 6 


HOW EAS, EB 
MOLI ED 


CRLL 
PÜP EBX 
POP EBF 


MOLI EAs, EBS 
MOLI EDs 


POP EBX 
POP EBF 


EL 
DB op 
DE oo 
DB 42 
DE op 
DB op 
DB oo 
UNICODE "TreeDBHo" 
UNICODE "tes Pro " 
UNICODE "4.25 (Ber 
UNICODE "aistered'" 
UNICODE "i", 























kernel32.7C8156D4F 
kernel32.7C816D4F 


/ Iess Ix Ix 


ntdll.KiFastSustemballRet 


UNICODE "TreeDBMotes Pro 4.25 (Registered 


kernel32.7rCS5186D4F 
kernel32.7C85186D4F 


UNICODE "TreeDBMotes Pro 4.25 WUnEESIENES 


kerne lie. rC21604F 
kerne lose. rCS1604F 


CHAR "PI 
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Si nos situamos encima de la instrucción JE podemos ver que si el resultado de la 
comparación anterior es igual entonces saltaremos a la versión “Unregistered” del programa. 
Pongamos un Breakpoint en esa dirección y pulsemos F9: 


OllyDbg - TreeDBNotes.exe - [CPU - main thread, module TreeDBNa] E = 





[e] Fie View Debug Plugins Options 
Sen 44 X| KI ët kel 


POP EBX 
POP EBP 













BE SAAB SS 
DOUD 
BASARAES4 
























AASAAESE 2046 ma 

BASARESS [rs EE PUSH EEF 

aasnagses ||. SBEC MOL EBP,ESP 

Basnmnnmagsg 523 PUSH EEX 

AASARESC SEDA HOU EB, ED» 

aagannagsE 2968 55129098 Bal CHE BYTE PTR DS:rERX-15B81,8 
v SHORT TreeDBHo. GA9AABES 

AASAREA? SBCs HOU EAH, EBX 

AASAREAS BA CCHES9BRaG HOU ED 

AASAREAE ES ESASASEFF 

GASAREEZ ||. | SB POP EBX 

AASAREEA |}. | ED POP EEF 

GASARAEES |}. | C3 RETH 

BASAREES || > *8BC3 HOU EAX, EBX 

ABSARBBBS ||. BA LapCappp Mol ES o c on 

amsnaggen ||. ES 46ASASFF CALL 

aasanagcs ||. SB POP EBX 

aasnagca ||. SD POP EBF 

aasnagca |L. C3 

AASARECE aa ian 

AASARECE aa DE op 

AASARECT aa DE op 

AASARECE 42 DE 42 

aasnagca aa DE op 

AASARECA aa DE op 

AASARECE aa DE aa 

BASARECE | . 54066 7266 6500 6) UNICODE "TreeDBNo" 

AASAREDC 7466 6500 73686 2) UNICODE "tes Pra " 

AASAAEEC 3466 2E66 32588 S3|UNICODE "4.25 (Re 

AASAAEFC opp 6960 7366 FP UNICODE "aistered" 

BASAACac 2500 Bann UNICODE "j",&8 


4 


+ 






Window Help Tools 


ai 


RETH 
LEA EAX, DWORD PTR DS: [EAX] 


BreakPoint-> = 






4131469. 
41314690 


UNICODE "TreeDBHotes Pro 4.25 (Registere 
H151469C 
H1351469C 
UNICODE "TreeDBHotes Pro 4.25 (Unregiste 


4131469C 
4131463. 


CHAR "E" 


Olly se detiene en el Breakpoint y cogerá el salto hacia el “bad boy”. Para evitarlo 


cambiamos el valor de la bandera Z: 





Leters [FPU] 


EAs Bl3bBE3EB 
Els H2roF450 
EDs HE1SFOFC 
EE BBl3FDFC 
ESP Hai =SFDDS 
EEF HBal13FDDC 
ESI 61291608 
EDI MASSS3A1C TreeDBho. 86 989R10 


EIF HASAABAS TreeDENo. HEASAAEAS 


CH ES 825 32bit BCFFFFFFFF) 
F1 CS BBIE 32bit SCFFFFFFFF) 
55 Baz3 S2bit BIFFFFFFFF 1 
OS 66023 32bit BFFFFFFFF) 
FS BHBH3B 32bit rvFFDFamaBtcFFF) 
GS masas MOLL 


LastErr ERROR_SUCCESS (maga) 


Volvemos a ejecutar el programa y Olly se detiene en nuestro Breakpoint por lo que 
volveremos a cambiar el valor de la bandera Z. Este proceso habrá que repetirlo hasta que 


finalmente aparezca la ventana siguiente: 
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Information 


UNREGISTERED YERSION 





Thank you for trying TreeDBNotes Pro 


This is unregistered version for evaluation use only, 


This dialog box will not appear in the registered version. 





Vemos que parcheando esta primera comprobación no nos ha llevado a ningun sitio. Sin 
embargo si hacemos clic en OK, y volvemos a cambiar el valor de la bandera Z para volver a 
ejecutar el programa, el "Unregistered" de la parte superior de la ventana ha desaparecido. 


Welcome! 
TreeDBHotes Pro 4.25 (Registered) (9-Jan-2012) 


Open demo file 
View a demo document 


Open 
Open an existing document 


Hew 
Create new document 


Visit Homepage 
Visit program homepage 


Buy Registration Key... 
Buy a registration key for the program 





Show Welcome dialog on start 


Ahora si sabemos que vamos por el buen camino. Subamos pues un nivel en nuestra 
investigación e analizemos el código con más detalle. Reiniciamos la aplicación para detenernos 
en nuestro Breakpoint: 
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BOSAABSS |ps 55. PUSH EBP — 





BEASARESS ||. SBEC MOL EEP, ESP 
BESAABSB |. 53 PUSH EBS 
ABSARBSCE ||. SEDA HOW EBs, EDs 


GBASARESE ||. SHES ES156666 mm CMP BYTE PTR DS: LEEBSTIBBS],H 






















werd BF 
HeSAABAY . | SBCS HOU EAR, EBS 
He SAABAS . | BA CCBESBOS MOL EDR UNICODE "TreeDBNotes Pro 4.25 (Registere 
He HHBHE É 5 5S5ASASFF 
AASAABES . | BB POP EBR 4131469C 
He SAABB4 . | 5D FOP EBF 4131469 
HeSAABBS . | C3 
HESAABBE > +B8BC3 HOW EAS, EBR 
HeSAABBS . BA l4B8c9mpug MOLI ED» UNICODE "TreeDBNotes Pro 4.25 (Unregiste 
He SAABBO . ES 46H3H5FF 
HeSAABCS SE POP EBS 4131469C 
HeSAABCS BD POP EBF H131469C 
He SAABC4 ca 


No hay ninguna instrucción CALL delante de JE, pero sí un CMP en la dirección 9AABOE: 
CMP BYTE PTR DS:[EAX+15B8],0 


Dependiendo del resultado de esta comparación estaremos registrados o no. EAX+15B8 
es una dirección en memoria, que al comenzar por DS nos indica que se trata de una variable 
global. Haciendo clic en la instrucción CMP podemos ver el valor de EAX+15B8: 


OS: [0130-3985 ]-518 


Hacemos clic con le botón derecho y seleccionamos “Follow address in Dump”. 





Address [Hex durg DEEL 
aismro9ss|ma 66 66 66 FF FF FF FF 66 66 aa 66 ma ma D Dp daoo  ecoadudd 
BISEFIAS| BE 66 66 46 66 66 66 66 66 66 66 66 66 DD BE DR | we 
BISEFIBS) 66 BE DR 66 66 66 66 Be 61 66 BB 66 Bl Be DR HA 3JL........ H...8... 
BISEFICS| BA BE BE 66 BB 66 66 Be SC 46 31 61 BB mB BB Bd XDJ........ £F1B.... 
BISEFSDS|) BE 66 66 46 34 EC FS Be 66 66 66 64 66 DU Bm ük eee O eee 
aisBFSES|mB 66 66 66 66 66 66 HB HS F5 FC B1 26 FS FO Bl  J....--:. n8 t8 
aismrESFS|"B FH FC 61 BC D? F9 gi 3C $7 FS 61 66 66 mum au EFA, I BLG G.. 
aisBFHBS|26 BE BE D 22 HB SS 66 66 66 66 64 66 66 D BB Ree eee 
aisBFHic|ma 66 66 FF 66 66 66 HB 64 9B FE 61 65 66 D dd D.. xxx deg, 
BISEFAES| 66 66 668 66 12 66 66 66 61 66 66 66 Bl 66 66 da oa o olle n8 
41S34BF-AS3/| 30 66 66 BE IE Bl 66 66 24 95 56 oe Eb Es 26 Hi A la 
CU SRR OdS AC 22 91 Di ma ma ma ma amm AA AA ma 20 45 Fa Di 21m E. A 
4 


La primera dirección que va a ser comprobada para averiguar si estamos registrados o 
no es el primer 00 correspondiente a la dirección 130F998. Esto significa que si el contenido de 
este espacio en memoria es distinto a cero, la rutina asumirá que estamos registrados. Esto 
también significa que probablemente haya más rutinas en la aplicación que comprobarán ese 
espacio en memoria. Por eso en la ventana principal pone que estamos registrados mientras que 
un lugar diferente de la aplicación sabe que no lo estamos. 


Lo primero que haremos es asignarle a esta rutina un valor distinto a cero para 
asegurarnos el "correcto" funcionamiento en esta parte de la memoria. 


Ponemos un Breakpoint en la instrucción CMP e eliminamos el Breakpoint en JE. 


Reiniciamos la aplicación e Olly se detiene en nuestro nuevo Breakpoint. Hacemos clic derecho 
sobre la instrucción y seleccionamos “Follow in Dump" -> “Memory address". 
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OllyDbg - TreeDBNotes.exe - [CPU - main thread, module TreeDBNa] 





-|a| 
[c] Fie View Debug Plugins Options Window Help Tools BreakPoint-> - [gl 
ex déi X^ KI "| ELE | as 


SHES B21560006 BB CHF 







/ ¡ELL E E 
















TEETE eme GE " EE i 
AGSAAEA? |l. 
BHeSARBAS BA CCAHBSABE Mol. Copy j HICDODE "TreseDBHotes Pro 4.25 (Registere 
HASAABAE ES SSASASFF CAL Bi " 
HE el e 
AASAREE: . 
ze |. Cr RED "o add 
SAAB , 
Be SAABBES , BA 14BCc9B88 HOL Label HICODE "TreeDBNotes Pro 4.25 (Unregiste 
GOSAABED ||. ES 46ASASFF CAL Comment : 
aes ||: B S MS Bees 
OH HHBL 3 . Breakpoint k 
Be SAABC4 . Ce kp 
HASAABES SIS DE Hit Er ace k 
He SAABCE Ae DE 
BeSAABCT AB DE Run trace k 
HEASAABES da DE | HAR 'B' 
HASAABES DG DE 
a | ae Db Gate M 
4 Thread k p B 
HEUTE Follow in Dump Selection 
BaS9F?806| 66 60 GB 08/60 66 06 BB: ; 
na leete a dec ee EAT View call tree Chri +k Memory address 
CEU) = E ^ 2: e i: P co | — —— 
SF7636| 66 SD dp D DR SD dp D 3 LI, A 
DOE dd) 25 9D 29 #1 AÇ 22 40 Bel: Search For [d d 
DoOE epp) pop CB CC CS C9 D? CF C8|I Find references to 
DDOE epp OO DE DF ES El ES op EA | E 
Hasrragag|agag 66 rg 30/63 66 ma dai View » 
e e 02 BE Be DD Be mag Ball LUC UM . e, mum um 
BasF?asa| as aa op an oe op op an! Copy to executable E a 
DOE vgl r2 Be SB CH| Se r5 GE géi ; ¿Runtime erra 
DOE vol dä 26 268 268/26 258 61 géi: Analysis j at HERRERA 


4 


[| wl: 0d 


Lo primero que vemos, es que la dirección en memoria que almacena la bandera que 
determina si estamos registrados o no, es diferente (130F998) 


Address [Hex dump CCL SSC 

BISEFISS| Hp 66 ag FF FF FF FF 66 66 aa 66 ma ma D Dp Sooo Benaáansn 
BISEFIAS| 66 66 66 46 66 66 66 66 66 66 66 66 66 DD BB DR | we 
BISEFIBS| 66 66 BE 66 66 66 66 Be 61 66 66 66 Bl Be BH HA |... ..... ooo. 
BISEFICS| BA BE BE 66 BB BB 66 6 93 ES FH Bl 66 DD Be Bd | wwe | Assan 
BISEFSDS| 66 66 66 46 GR EC 73 Be 66 66 66 64 66 DU D Dp san Don 
aisBFSES|mB 66 66 66 66 66 66 HB S8 BB FD 61 AC 6E FO BI  j.....-.-.. as Elan * El 
aismrESFS|mc v1 FD 61 14 Fe F9 Hi FC 28 FS Bl 66 mm mum au Pm Ne Er pg c 
aisBFHBS|26 BE BE 46 rC FE IE 66 66 66 Hö 64 64 F9 1E dad Ella AA dd, 
aisBFHic|mnB Be Be 66 9C FD 1E 66 66 66 BB) BB r4 69 GF GE EE, Ee tion 
BISEFAES| 24 66 66 66 12 66 66 66 61 66 66 66 Bl 66 66 dad EE ld ee 
BISBFASS| 30 66 66 66 IE 61 66 66 24 95 58 66 EB Es 26 äl A lola 
BISEFASS| BC 32 21 61 66 66 66 DH 66 66 66 BB 20 45 F9 gl ec lawn eee rE H 
4 


Hacemos clic con el botón derecho en “00” y seleccionamso “Binary” -> “Edit”: 
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OllyDbg - TreeDBNotes.exe - [CPU - main thread, module TreeDBNa] 
[e] File wie pm 





s 


Iess E E 


Options Window Help Tools BreakPoint-> 












Ld 
Copy + M tee] +e) ss 
TEE =E | | CEri--E 
Breakpoint ` k Fill with 00's 
PAP UMICODE "TreeDBNotes Pro 4.25 (Registere 
Search For — k Fill with FF's 
H HIEHRBZOG 
He SAABBS o ka + BIFABS 38 


Binary copy 
MOL ED 
POP EBR 


BASAABES 
BBSAABEE 
GBSAREES Hex 


Text 


Short 
HASARECE 
o | Fon 
ABSAABCY 
GE Float , 
G3AABCS Disassemble 
Be 2HHELH 










UNICODE "TreeDBHaotes Pro 4.25 (Unregiste 


BIFABS3S 
BIFABS3S 






ES FS YF F 


CHAR "E" 
Special k 


Appearance PQ —^ 5 5 5  — jfascit D 





Introducimos un “01” 


x 
ASCII [E 


UNICODE E 


HE +01 Ai 


[ Keep size 


Cancel | 


Vemo que la ventana Dump se ha actualizado. 


B13B8FBh28 SNE en: A 
B138Fh38 ...ÀB. PL 0088 
B138FBD48 SH E- 

4 





Volvemos ejecutar la aplicación y Olly se detiene en el breakpoint. 


Vemos que en la ventana Dump desapareció el “01” y vuelve estar el “00”: 
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OllyDbg - TreeDBNotes.exe - [CPU - main thread, module TreeDBNo] 











ai 


el 44| X| SI 


| =la] x 
[e] File View Debug Plugins Options Window Help Tools BreakPoint-= -lej x 





oes Hebe. 












SEBS B81500006 66 CHP BYTE PTR OS: CEAX+1568], 0 m 
ABSAAEAS 74 GF 
BBSAABA? ||. Secs HOU EAX, EE» 
ABSAABAS ||. BA CCABSARA HON EDX UNICODE "TreeDBNotes Pro 4.25 (Reaistere 
GASARBAE || . Es SS5ASASFF CALL 
BASAABES ||. SE POP EBY @131469C 
BBSAABES ||. So POP EBP 81314690 
BBSAABEES ||. ca 
BBSAABBS ||» secs HOU EA, EEX 
ABSAABES ||. BA LaptCapop MOL EDX UNICODE "TreeDBNotes Pro 4.25 (Unregiste 
ABSAABED ||. Es 46A2ASFF 
BBSARECE ||. SB a1314690 
maonngcs ||. So B131462C 
BBSAABCH |L. Cs 
ABSAABCE aa AA 
BBSAAECE Baa DE ma 
ABSAAECT aa DE ma 
ABSAAECE 2 DE 42 CHAR "E" 
BBSAAECA Ba DE 66 
DCH) 2 DB o = 
‘ JE 
ASCII x 
AGS OI BG 66 66 BB BB op 66 66 39 9A ED BE Be SD 46 BB.  |........ ourABlim. 
Basrraia|BS 36 41 Ba 58 89 41 ma CC 39 41 66 34 EC 41 oo ep, HEA. |r9n. 4 LB. 
gasgrraza|5c 73 41 øA 72 13 SB CA 82 op SB CA 66 SD 44 oo Shri te. it. ie. 
Goor) Bo so 48 66 op SD 46 66 61 SD 46 op DC ep SF op . 188, . LB, 0l, Df. 
aBSF?646|28 9D 29 61 BC 22 46 ma 3C 24 46 66 Bc sr 48 oo [1] 8st, cim. ris, 
aBSF?OSO| 66 Ce CC C8 C9 Dr CF CS CD CE DE Ds DA OS CA DC irl fia Slt D a 
aamesrrzaea|nn DE OF EA El ES 66 E4 ES 8D 46 66 66 aa aa aa BO SOLE... 
aBSF?O76|e6 66 Fe SD 03 op op op 668 aa op op 61 66 op op E ER Bane 
aBaF?as6|6e2 66 66 66 03 op 66 66 66 66 op op 66 66 op oo Bw ere ee are ce 
AGSFFAIG| BO 66 aa aa 66 op 66 66 66 BB 24 40 45 72 72 BF)  |.......... ¿BErro 
Got epppl 72 66 SB Ca 52 75 6E 74 69 60 65 26 65 72 ez 6F r.i'Runtime erro - 
Baesrrapa|T2 28 38 26 26 28 61 74 28 38 280 36 30 38 28 360 r at Baoaaaa 
4 + 


Esto significa que en algún lugar de la aplicación hay una segunda comprobación que 
resetea el valor de nuestra bandera otra vez a cero. El siguiente paso es pues localizar el lugar de 
esa comprobación. Para ello vamos a poner un “Hardware Breakpoint” en esta dirección de la 
memoria para decirle a Olly que pare siempre que la aplicación intente escribir algo en esa 
dirección. Elegiremos “write”, porque en algún lugar la aplicación escribe un cero en esa 
dirección. 


Reiniciamos la aplicación, pulsamos F9 y Olly se detiene. Hacemos clic con el botón 
derecho sobre la instrucción CMP y volvemos a seleccionar *Follow in Dump" y cambiamos el 


primer binario de “00” a “01” Vemos que volvio a cambiar la dirección de la memoria. 


Hacemos clic con el botón derecho en el primer valor de la ventana Dump y 
seleccionamos “Breakpoint” -> “Hardware, on wirte” -> “Byte”. 


http://masteracsi.ual.es/ 


OllyDbg 












Backup Wain thread, module TreeDBNo] 


Undo selection Alt--BkSp indow Help Tools BreakPoint-> 


































Copy + I: =| =: H 
Binary d OS: CEAR+15887, 0 
He'SAABAS 
AASAAEA? Breakpoint V Memory, on access 
GE Search For k — Memory, on write ocu Mic 
DEER FAB298 
5 (40 Eo » e 
Hardware, on access d glisse 
w Hex d Hardware, on write [Byte ` E 
Text Hardware, on execution Word 
Short » Dwward 
Long b 
Float » 
CHAR "E" 
BBSARECS Disassemble 
DOUD H 
33mm ma nm Special b 













Appearance » 
415AF3985 HET HE HE AA HEB D BE 66 66 DD D I Y CENE y rn 
4134F>3485/66 66 66 D 66 66 66 66 66 66 66 66 D Bb D DÉI | wa neen pu pw 


Pulsamos F9 y Olly se detiene en nuestro primer Breakpoint. Vemos que el valor “01” 


introducido anteriormente sigue ahí. Volvemos a ejecutar la aplicaión y Olly se detiene en una 
nueva sección. Si nos fijamos en la esquina inferior izquierda vemos que Olly se detuvo en 
nuestro “Hardware Breakpoint”. 


OllyDbg - TreeDBNotes.exe - [CPU - main thread, module TreeDBNa] 
[e] Fie View Debug Plugins Options Window Help Tools BreakPoint-> ES lel xj 


es 44 X| KI e ad I 








au DB db 
I sH98 Bal5s8nÓ e OL,EYTE PTR 05: CERs+1563] 







74 66 
econ Boi Seaaa MOL BYTE PTR OS: [EAX+1588], 0L 
Ca RETH 

aasmncas op HOP 

aasunnca4 |r. SS FUSH EBF 

BASADCAS ||. SBEC MOL EBP,ESP 

aasnncar |. s304 ES ADD ESP,-2 s 

aasnncan ||. 53 FUSH EBX 

aasnncag ||. SÉ FUSH ESI 

aasabcac ||. SF PUSH EDI 

BASADCAD ||. 8940 ES Mow ECS 






Baenpncia ||. 8955 FC Mow ED! 
Baenpncis ||. ` oppe MOL EEN. EON 

Baasnpncis ||. 2645 FC HOU EN, ELOCAL. 11 TreeDENo. DDD21PEG 

Baenpncis ||. 2615 Bagpazaaa HOW EDX,DWORD PTR DS:C50B6B66]| TreeDEho. BBSABAFC 

BASADCIE || . ES 29564A5FF CALL 

aasabcza ||. GFE6ES 19616666 (ROUSEN EDI,BYTE PTR DS: [EA*+115 

ABSADCZA ||. SFAFPD ac IMUL EDI CARG.21_ TreeDEHo, B699DA26 * 





4 AI 


Return to BASSESSS [TreeDEho. HAS9ES351 
Jump from BeSADBFA 





















GENT ` am] SAT: 
a136-993/68 maa aa FF FF FF FF 66 op op op 66 BB 66 BB |u... twee G8l3FF14 | aon 
5 Aa AG E ru bb ru DD ru DD rr ci D cid D HA HA o^ | Na any V amni2FFi12 Ai 
DEER 441=FF1C HO 
DEER 4401=3FF2A 441 
DEER Bai2FF24 || 009 
no... 441=SFF2S Hel 
601S3FF2C “CANE 
Sra Al Le e A eer) e Am Ed, a o ea ART SEP SA FFF 
4 : - 


Commance 


Hardware breakpoint 1 at TreeD BNo.0034DC02)- 





EIF points to nest instruction 


Continuemso estudiando el código. La primera instrucción compara DL con el 
contenido que hemos editado en la dirección de la memoria. S1 ambos coinciden saltaremos 
hacia la dirección 9ADCO2, donde tenemos una instrucción de retorno. Si no coincide, 
almacenaremos el contenido de DL en nuestra memoria. Ya sabemos que DL es igual a cero, ya 
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que vimos en nuestra dirección de la memoria cambiar el valor 01 de vuelta a 00. Así que esto 
es básicamente otra comprobación. Si la comparación es FALSE pondrá un 0 en la bandera de 
registrado / no registrado. Si el resultado de la comparación no falla, entonces todo queda como 


estaba. 


Vamos a eliminar ahora nuestro hardware breakpoint. 


seleccionamos “Debug” -> “Hardware Breakpoints" -> “Delete 1". 





qSHU0BED 
JaHDBEE 
J2HDIBEF 
3 
a 





ADEF 
ADEF 1 


ict E cw E cn e Eo E C 
GGG 


Ia 

Io Eva! 
VD VD 
DP 
n 
mu 
ARA 
ao nà 


OOSADEFA 
He SADBFA 
BESRDBFC 
ARSADCAS 
BEASADCAd 
HASADCAS 
HASADCAr 
BRSADCAR 


i 

LA LA m m 
«Ln 

IT 

no 

Cit 

GIG 

Cm 


alie l C OD D DI 
VJ D D RI E 
«D «p«r D 

7 Is 
a 
m 
[=> 
da 


Return to BE 
Jump fram BH 


Hes 


B1SeF 995 
B13BF*9HS 
H13BF9BS 
aisarFecS 
4138-2903 
41 3aFSES 


ah. 







= 
ke 
De 


Command 
| Hardware breakpoint 1 at TreeDBMHo.OD8AD CUZ - EIF points to nest instruction | 


Hardware breakpoints l X] 


H Base 


[tL Es allow 2] | pee 2 ] 
|. tL i eee 
[LP Siew) Lpsees] 


Run 
Pause 
Restart 
Close 


Step into 
Step over 


Animate into 
Animate over 
Execute till return 
Execute till user code 


Open or clear run trace 


Trace into 
Trace over 


Set condition 
Glose rum brace 


Hardware breakpoints 


Inspect 


all LL export 


Arguments 


Select import libraries 
Select path For symbals 


Size 


OllyDbg - TreeDBNotes.exe - [CPU - main thread, module TreeDBNo] 
[c | File wiew | Debug Plugins Options Window Help Tools BreakPoint-> 


PA 

Fl 
Ctrl+F2 
Alt F2 


F7 

Fa 
Ctrl+FF 
Chrl+Fe 
Ctrl+F9 
Alr-Fa 


Ctrl+F11 
Ctril+Fiz 
Ctrl+T 


+ 


ai 






CHAR 
CHAR 


pet 


ra RE 


15: LEHX-15BS1 
EAS+1 S65]. DL 





Tree ec AI empty 


" D empty 
empty 


empty 
empty 
empty 
empt: 





NN PG, PFP? 












l |as 
DD aa ma PA 
D 2 MN EE 
DD SIE OR EE EEN 
DD DG 
DD DI [8...p 38........ 
FS - Bl 


OK | 













a Bstercs [FFU 
HISHESER 
EE E ERES 1 
5/515/5/5/5/5]5 
HiShESER 
Hei SFFaAC 
ABISFF1i& 
FFFFFFFF 
HiSHESER 


BESADCA TreeDBNo. se SHOCKS 


ES 8823 S2bit ALFFEFEFFEI 
CS 8E1B 32bit BGLFFFFFFFFJ 
55 HH23 s2bit BLFFFFFFFF) 
DS 8825 32bit BLFFFFFFFF1 
FS BASE 32bit rFFDFBaBamarFFF) 
GS BABA NULL 


LastErr ERROR_SUCCESS [HHHH 
BB2062297 [NO,B,HE,BE,S,PE,L,L 


Para ello desde el menú, 


=la] x] 
=|! x| 





ege FFFF BBs BES 
=P??? FFFF DD mad] 
B. LIDD 

1. mammaaaaaanadm aaa 

B.2122169334272799"359"35 

-trt FFFF DD DE 
2, Banana daa 

Ba 13sFFuüac 
DEE Ing 
Ba13FF14 
BHISFFIS 
aai3FFiCc 
aai3FF-28 
Bb13FF24 






A continuación pondremos otro hardware breakpoint en la dirección 9ADBFA para 
poder detenernos antes de que se ejecute la rutina. (Hemos seleccionado un hardware breakpoint 
y no otro por ser más robusto. Todos los demás breakpoints son eleminados por la aplicación.) 
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OllyDbg - TreeDBNotes.exe - [CPU - main thread, module TreeDBNa] 
[c| Fie View Debug Plugins Options Window Help Tools BreakPoint-> = E | x] 


El dé wF ha EN (CU m" Regt li 








E 























JAQBEL Bae í A 
HeSADBED isters (ER) 
| s ME om , een 

SADE 41 SHE SEE 
agsnpera | e | Binary : CHAR "1 DEDE 

an 
ga3RDEFe Be Assemble Space eee ease 

SA 
oospbera ps 2A9a Label p+ 1 SBS] GER 

|: Seog Comment ; e ni 0130E3E0 

uS Breakpoint Toggle F2 Veces aee 
Je HIIS sE 32bit BLFFFFFFFF) 
pes - See? Hit trace k Conditional ShiFt+F2 32bit BFFFFFFFF) 
E D ore o Es [ ] 
BESADCA ||. 83C4 Run trace k ` Conditional lag Shift+F4 apre See EERE 
A : 32bit rFFDFaaBLFFF) 
GBSADCAB ||. 56 "m Run to selection F4 HULL 
d EE S. Mew origin here Ciaran A OO S 

"H Li o ES Ki =. _ r lr 
aesabció ||. sess Goto k — Memory, on access gionis d SSC 
HeSADC1S . BDS ; (HO, B, HE, BE, S, PE,L, 
aesoocis ||. spas Thread + Memory, on write L FEFF 60000033 aes 
mium ee poese i " sz FFFF Banmaana AAA 
D5:[rB138F3581-88 View call tree Chi+k Banana OG 






DL-aa emptu D. 213216933433939939999 
Local calls from A empty -777 FFFF SERRE BEE 
Search For empty 2. DDDDDDDGDDDDD GD 


Hex dump aot SEF aC 
SEE E Find references to 

alseFSaAS|66 ma op Vie 

BisaroBs|aan op op 

Dl2pEaCGl 0A pop op Copy ka executable 
a134F908|61 66 op 
a130FSES|66 ma aa Analysis 





Cw ow Y on F 


Eta 
D 
D 
D 
DR 
B1 





ali. x) C I o] Gi e mpe 


Analyze This! 


Command IDAFicator + 
| Hardware breakpoint 1 7 CMP ut instruction | 


Reiniciamos la aplicación, pulsamos F9 y nos detenemos en nuestro nuevo Breakpoint. 





OllyDbg - TreeDBNotes.exe - [CPU - main thread, module TreeDBNa] ] 
[e] File View Debug Plugins Options Window Help Tools BreakPoint- = = lel xj 









ir 44 X| KI Se Fe) RE] ai a 


BBSHDEFZ B DE BB A (EPL 
ARSADEFS DE op = —— 

























an : 
&amsanerFa sH9Bü B91560604 CMP OL,BYTE PTR DS: [EA=+1563] Bn1isFDn4 
aBSRDEFR || .v r4 BE JE SHORT TreeDENo. AASADCAZ AAOAOGEG 
BESADEFLE Soo B91560066 MOL BYTE PTR DS: CEAs+1568),0L BISBESED 
GEET SE CS RETH G1 SEES 
ARSANCAA am HOF Aad Aee d e 


Analizemos lo que tenemos hasta ahora: Esta rutina es llamada antes de ser ejecutado el 
primer Breakpoint. Es una rutina que comprueba si estamos registrados o no. Si no lo estamos 
pone un cero en la dirección de la memoria que viene dada por [EAX+15B8], y si estamos 
registrado pondrá un 01 (o cualquier otro carácter distinto de cero). A continuación se llama a 
nuestra vieja rutina, la que imprime en la parte superior de la ventana si estamos registrados o 
no dependiendo si en ese lugar de la memoria hay un cero o un uno. Si nos aseguramos que se 
va a asignar un uno en ese lugar de la memoria, cada vez que se ejecute, todas las demas rutinas 
que vengan a continuación van a comprobar ese lugar en la memoria, verán que el valor es uno 
y pensarán que estamos registrados. Intentemos pues cambiar la rutina para que siempre ponga 
un uno en el lugar apropiado de la memoria. 


Sabemos por la dirección 9ADBFC que DL ya tiene “algo” asignado en la memoria. Asi 
que podríamos cambiar ese “algo” a un uno. El problema de cambiar la DL por un uno es que 
esto cambiaría la longitud de la instrucción añadiendole un byte y esto sobreescribiría la 
instrucción RETN. Asi que lo que haremos es reemplazar las instrucciones CMP y JE en lugar 
de cargar un 01 en DL. 
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Seleccionamos por lo tanto ambas instrucciones, hacemos clic con el botón derecho y 
seleccionamos “Binary” -> “Fill with NOPs”. 





OllyDbg - TreeDBMotes.exe - [CPU - main thread, module TreeDBNa] 





He SAOBF 4 
HASADEFA 
Be'SAOUBF c 
HH 
BRASADCOAS 
ARSADCA 
BESADCAE 
HHH He 
BASADCAR 
DOC DE 
BESADCAL 
BASADCAD 
HASADE 1 i 
HOH 13 
BASADC15 
BASADC1S 
AESADC1E 
HDH 27 
BASADCZA 
EEN 


|: 


[e] File View Debug Plugins Options 


Be SADBF2 
BE SADBES 


A 


Window Help Tools BreakPoint-> 


ur dd] Si KI ++ $E al a 


LEHAsT15BS] 















Ca Binary Edit Ctrl+E 

EE assemble Space Fill with 00's 

nord F Label Fill with MOPs 

E Comment : — 

or Breakpoint 

2940 F | i 

S955 E Hit trace + 

aBna 

SB45 F Run trace + 

er TreeDBHo. op) 

arBeBa a Eo k Ds: CEA*+11 

BFHF di TreeDBHoa. Be: 

Barn E Thread » = 
Follow in Dump KE: b 


El resultado que obtendremos es el siguiente: 


OllyDbg - TreeDBENotes.exe - [CPU - main thread, module TreeDBNao] 
[e] Fie view Debug Plugins Options Window Help Tools BreakPoint- 


EI €" ei al om 
BESHDEFZ 
ABSADEFS 


Ha ADEF 4 
BeSADBFS 
DD e 
He SADBF € 
BESADEFS 
BEASADEFS 
Hamer 
Be SABE 
BeSADBEC 
Be SACHS 
He SADCHS 
BESADCA4 
BESADCAS 
Be SADC? 
BESADCAA 
DH 
Be SAOCAC 
He SADCeO 
DD 1 d 
SSC 


4 





HOP 
BS 158688 HOL BYTE : CEA#+1 568], DL 
RETH 
HOP 
PUSH EBP 
HOW EPP, ESP 
HOO ESF,-2 
PUSH EBs 
PUSH ESI 
PUSH EDI 
HOL 


MOL, 
MOJ EB EAS 


11 Fr 


TreeDBNo. Beas 


rt 


A continuación hacemos clic en el primer NOP (9ADBF4) y pulsamos la barra 
espaciadora. Introducimos MOV DL, 1. 


Assemble at OOSADBF4 X] 





Iv Fill with NOP's 


Cancel | 


Hacemos clic en “Assemble” y “Cancel”. 
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OllyDbg - Tree DBNotes.exe - [CPU - main thread, module TreeDBNo] 





Window Help Tools BreakPoint-> 


Al ee (tet 


[e] Fie View Debug Plugins Options 
addi x) Kill) hä 













BEASRAOBF2 


BEASADBF4+ 
BESADBFE 
Be 9HDBF ? 


BESAUBFS 
HESAUBFA 
BEASADEFE 
BEASRAOEFE 
HOH D 

















op 
Goop Boi cSaqee MOL BYTE PTR DS:LERZ-15BE81,DL 
C3 RETH 


Siempre que se llame a esta rutina, se va a cargar un uno en la memoria en lugar de un 


cero. Pulsamos F9 y Olly se detiene en nuestro Breakpoint original. 



























OllyDbg - TreeDBNotes.exe - [CPU - main thread, module TreeDBNa] X 

[e] File View Debug Plugins Options Window Help Tools BreakPoint-> = [2| x 
edd X| Kl bai LE adi a : 
HA SAAB SS Fo 5E FUSH EEF m 
HeSAABS9 , SBEC MOL EBP, ESP 
He SAAB SE B3 PUSH EBS 
HE SAAB SEDA MOL EBX, Ela 
, SBS B31560006 o CAP BYTE FTR DS: CERAs++1565]7], 6 

He SAABAS Oo r4 BF 
He SAABA? . SBCS MOL EAS, EBs 
HeSAABRS BH CCHB9HAaB MOL EDs UNICODE '"TreeDBhHotes Pro 4.25 (Registere 
He SAABAE Es SSA9A5FF 
He SAABBS » SB FOP EBs H151469C 
HASARBE+ » Eb POP EBF 4131469 
BASAREES ||. C3 RETH 
BB3HHBEES A BBCS MOL EAR, EB 
He SAABBS , BA l14HC9H8H HO ED UHICDODE "TreeDBHotes Pro 4.25 (Unregiste 
He SARBEO » Es 4BASGASFF 
He SAABCS » EB FOP EBA H151469C 
He SAABCS » Eb FOP EBP H151469C 
BESAABCH |L. C3 RETH 
BASARBCES AE DB 46 
He SAABCE D OB Op 
He SAARBC? e DB 44 
DH 42 [DB 42 CHAR "E" 
He SAABCS AE DB 46 
He SAABCA D DB ou 
He SAARBCE e DE op 
HeSAABCC . 5466 7266 6588 6l UNICODE "TreeDBHo'"" 
He SAABOC ‘46H 6566 r300 ¿| UNICODE "tes Pro" 
He SAABEC S468 ZEap 32086 3| UNICODE "4.25 (Re™ 
He SAABFC eroh 6966 7300 7| UNICODE "aistered'" 
He SAACKC 2366 mam UNICODE "IT, 6 
Be SAAC 158 46 [B 46 CHAR "EI 
He SAAC e DE mu 
giaapdngc 1z nin [B Bia 
HASAACIS AE DB 46 DE 
HeSAAC 14 5466 72096 65086 6 UNICODE "TreebDlEnNo"" 


4 


Pulsamos F8 y vemos que pasaremos por nuestro “good boy”. 
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OllyDbg - Tree DBNotes.exe - [CPU - main thread, module TreeDBNao] 


[e] Fie View Debug Plugins Options 
ey dq] X 







HEASARESE 
MEASARESS 
MESARESE 
HASAABESC 


DUDU e 
HeSAABAS 
He SAABRE 
AASARBES 
ARESARBE4+ 
AASARBES 
HHSAABEE 
He SAABBS 
HeSAABBO 
He SAABC2 
He SAABCS 
He SAARBCS 
ARASARBCE 
ARBSARBCE 
ARSARBE? 
AASARABES 
DOUD 
HeSAABCA 
He SAABCE 
HE SAABCC 
He SAABOC 
He SAABEC 
Ae SAABFC 
ARBSARCAC 
ARSARACIA 
ARBSARCIi1 
ARASARACIZ 
ARESARCIS 
[ammo 13 


al | 









S 





kul 
ES 
SBEC 
53 
SEDA 


'| SECS 


EH CHEZ 
E SSASASFF 


Es 46A9H5FF 


54668 P2858 6500 6 
rima 6568 r300 2 
S466 2E66 22808 3 
Gru 6906 T300 ? 
2988 BEE 


E466 Y266 6500 6 





MOLI EBF 


Window Help Tools 
| ses | ee e 
PUSH EBP 





e ESP 


PUSH EBs 
MOLI EBs, EDs 


yt" BYTE PTR DS:LEHEsT15B81,G 
HOU EAR, EB 


CALL 















POP EBA 
POP EBF 


MOU ERE 
HOu EDH 
CALL 


POP EBA 
POP EBP 


DE Ba 
DE ma 
DE ae 
DB 42 
DB da 
DB Hm 
DE ma 


DB Hë 
WAICOOE 


EEs 


"TreeDENo"" 
"tes Pro " 
"4,25 (Re 
"dqistered' 


EET EE] 


"TreeDBHao'" 






BreakPoint-=> 


s 


* Dees" lag [x 


UNICODE "TreeDBNotes Pro 4.25 (Reaistere 


4131469. 
131469. 


UNICODE "TreeDBNotes Pro 4.25 (Unregiste 


4131469. 
41314690 


CHAR 'B' 


CHAR "F' 


Pulsamos F9 y nos detendremos en la rutina que comprueba si estamos registrados o no. 


AASADEF? 
AASADBFS 
BASADEFS 
ABASADBFA 
AASADBEFE 
HeSADBFC 
Aa SADCHS 
ARASADCAS 
piam DA 
ABASADCAS 
ARASADCA? 
ARASADCAR 
DOC 
DD20DDCDC 
HESAOCeEO 
[mam 19 
ARBSADC1S 
HeESADCIS 
ABSADCI1S 
ABSADCIE 
ARASADCE= 


L; 







p- | 11 
Ez Bl 


gan BSslbammas 


3304 FS 


S940 FS 
56955 FC 


FL 
5615 BOES 
Es 9564A5FF 
BFBeBS 1981858508 
BFAFFO ac 
BsrD FS 
SEES ABACARAA 
297E AL 
SED? 


SECS 
ES eDeDBE3FF 
SBCS 


En a el el ed aa 








"E 





HOF 
PUSH EBF 

HOU EBF, ESP 
ADO ESP, -2 
PUSH EB 

PUSH ESI 
PUSH EDI 


Mol 


MOL 
HOU EBH, ERE 
HOU ERX,ELOCHE.13 

HOU EDY, DWORD PTR DS: [SOBOBA] 


HOLZ a EDI,EYTE PTR DS: CEA&+115 
IMLUL EDI 
HDD EDI 
MOL ESI, OWORO PTR OS: TEB++CA6 
MOD DWORD PTR DS: CESI+C],E01 






OllyDbg - TreeDBNotes.exe - [CPU - main A A 
[e] File wiew Debug Plugins Options 


ex de] X 


Window Help Tools 


ee Ze Aa 
i 


H 
HOW BYTE PTR DS: CEA++1565], DL 








ECA 
, Ela 


MOL Ela, EDI 


MOL EAS, EST 


MOL! EAS, EB 














BreakPoint-> 






TreeDENo. B6A21EFS 
TreeDBHo. DOE 


TreeDBha. amne 


Pulsamos F9 unas cuantas veces más hasta que finalmente aparezca la siguiente ventana: 
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P 


ba 


Welcome! 
TreeDBHotes Pro 4.25 (Registered) (97-Jan-2012) 


Open demo file 
View a demo document 


Open 
Open an existing document 


Hew 
Create new document 


Visit Homepage 
Visit program homepage 





Show Welcome dialog on stark 





File Edit view Tree Folders Notes Contacts Passwords Tasks Tools Help 


>| See a Notes Derr Tee Demo ` — dds Demo Prat 2, ToDo [+=] kl € 


"Notes Folder Tree E ‘| A E ` "e . - Verdana 


— A >> 
L i i " : e —— IP. 
cO 


P 


SEO Tools 
Wingdings 


— Paragraph SEQ tnals demas and instructions 


i Tables 
AAA ® Text generator / Anchor generator 


bs Nokia No 

e Nokia N93 

w. Motorola RAZR V3 
TG. ME LAC KRZR 


AB E Line; 3 Column: 34 [NUM] | Spanish | =| 00:00 + 


Words: O Characters: 0 


@A TreeDBNotes Pro 4.25 Build) 01 Date: 9-Jan-2012 | | 





Finalmente guardamos la aplicación parcheada en nuestro disco duro. 
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Seleccionamos “Debug” -> “Hardware Breakpoints" y hacemos clic en el botón 
“Follow 1”, lo que nos llevará a nuestro parche. 





H Base 


Hardware breakpoints i a x| 


Sie = Stop on 


| [OUSADEFS [— Ee Delete | 
>| [| O ez] EA 
2. || [© Follows] ees] 
0 POP vm] Lpsses] 


OK | 


Seleccionamos todos los cambios que hizimos. 


OllyDbg - TreeDBNotes.exe - [CPU - main thread, module TreeDBNo] 





[c] File View Debug Plugins Options Window Help Tools BreakPoint- = 


oi Binz 





BESHDBES 
BESBDBES 
BESHDBE 7 
BESRDEES 
BOSADEES 
BOSADEER 
BOSADEEE 
BOSADEEC 
BOSADEED 
BESHDBEE 
BOSADEEF 
BOSADEFO 
BOSADEF 1 
BOSADEFZ 
BESBDBF3 
BBESRDBF4 
BOSADEFE 
BOSADEF? 
BOSADEFS 
BOSADEFS 
BOSADEFA 
BOSADEFE 
BASADEFC 
Been 
BBSRDCe3 
BOSADCOs 
BOSADCOS 
BESHDCB 
BOSADCOR 
BESHDCBB 
BESRDCBC 


ey A. m EN 


«| | 


GI 


E Bi 


B31 58888 


FS 


| Il 


eje lU dl > 
POP EBF 


DE ou 
DB 6 





HiF5S6SH 


DB 75 CHAR "ur 
DB 72 CHAR "rr 
CHAR "Ir 


H 
MOL BYTE PTR DS: LEHRSTIBSBSI,.DL 


HOP 

PUSH EBP 
MOL! EBP, ESP 
ADD ESP,-2 
PUSH EBs 
PUSH ESI 


hd Ig Led wm LI 


TreeDENo. H44S5E 23. 


Hacemos clic con el botón derecho: “Copy to executable” -> “All modifications” -> “Copy all”. 
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OllyDbg - TreeDBNotes.exe - [CPU - main thread, module TreeDBNa] x 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> CAE: 
igr| 44 KI "* 1t c 77 | : 
y Backup k = 
BASADBES : FOF EBP m 
BBOnDBEe | . C3 RETH Copy + 
He SAOBE? e DB 44 : 
dosanees | ^ ea DB Gë ini 
ALIHHLIBE' | d : 
BASADBEA AA DB op Undo selection Alt+BkSp 
GOSADBEC | 75 DB Te Assemble Space 
BeSADBED BB DE op Label 
| B T 
HAUT ` E 1 
See E FE 
AASADE l d j F 
Be SADBF 2 et DB 44 Breakpoint 
DOUD 2 D [B Bia Hit trace 
He SAOBF 4 Be Hil HOU OL, 1 
BBSADEFE aa HOP Run trace + 
Be SADEF Y 36 HOP TESEI 
DOUD o 36 HOP e 
ABSADEFS ag HOP Mew origin here CrrHGray * 
BESADEFA au HOP 
BASADEFE op HOP 0 Lo d 
Be SAOBFC |: 52960 EBS154006 MOL BYTE F^ h d + 
essnoces |. Sa gece E 
HOUTH 10 . 
maennce4 | fp. 55 PUSH EBP Follow in Dump / 
Basura? ||: É364 re ADD Esp; 2 
asADCer ||. - 
tue DEN a - 
OCH ^ 1 ; 
pesabcac ||. 57 PUSH EDI "rd rstggnees de - 
STEEN EA LR pi : 
DU AC CET? Copy to executable k Selection 
Local calls from DROB, massEgSS3, HES Analysis " ET 








DOEDCEEA B2 oi HOW DL, 1 «| 
BBSACFFE. 9B HOP 

BBSACFF?| 9B HOP 

AASACFFS) ` op HOP 

HBEHCFF9 | op HOP 

BESACFFA ` ap HOP 

BBSACFFE. ` op HOP 

Goor S898 BS156606 | MOL BYTE PTR OS: CEAR+15B8], DL 

BBSADAGZ| C3 RETH 

e| m en 

14145 HLIBE 

BBSADAGSE| SBEC HOU EBP,ESP Backup k | 
BBSADAGF| 8304 F8 ADO ESP, -2 

BBSADGGAÍ 53 FUSH EBX opty d 

BBSADAGE| 56 PUSH ESI = : 

BASADABC| SF PUSH EDI nary 

BBSADAGD| 894D F8 MOL DWORD PTR SS: CEBP-81, ECH essi 

aOSH016 EEE F Moy DWORD PTR SS: EEBP-41, ED 

Hi Iq}. : 

BBSADG1S|  SB45 FC Mal EAX, DWORD PTR SS: CEBP-4] Search for | 







Go En offset Ctrl+6 







BESHDBFE 
BESHDBE Y 
BASADEFS 


m A VT. SEES 


MOF 


k Lm Le? 


Cerramos Olly y ejecutamos la aplicación recien creada: 
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Mis documentos 


AK 


GB 


EN 


ResHacker 


TreeDBMNaEes 
Prot 


TreeDBNoles 








wl tr MEME Das E- * Fi c LV , 
, 5 mm AAN] ke Al "7 md B ma 30 7 x 
E yl Sch KC KE zi LE LCE a SE 


File Edit View Tree Folders Motes Contacts Passwords Tasks Tools Help 





€ [E TreeDBNotes | Notes Demo €i Contacts Demo | 3) Passwords Demo. ¿e Protectedtee. «| ToDo 1 - 





TreeDBNotes Pro 1.25 
Build 01 

hos Mirad Date 9-Jan-2012 
Homepage 


http:/ /www.mytreedb.com/treedbnotes pro.html 


A'ersion IB; TDP-4.25-01-8 

‘Support email: supportamytreedb com 
The number of launches; 11 

First Start: 2015-08-06 [15-56-45] 
Days: 2 Ka: 
[S-Engine: NRM9] 


bod dod dod dod dod dod dod 








WA TreeDBhotes Pro 4.25 Build: 01 Date: 3-Jan-2012 | | 
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7.11 Caso practico 11: NAGS 


Los Nags, o “nag screens” son cuadros de mensajes que aparecen de vez en cuando para 
recordarnos que el periodo de prueba está a punto de acabar y que tenemos que registrarnos si 
deseamos continuar disfrutando de la aplicación. Deshacerse de estos molestos nags es un tema 
central en ingeniería inversa por lo que se estudiaran en este apartado dos aplicaciones con nags. 


Se va añadir también un nuevo plugin a Olly, llamado IDAFicator. 


7.11.1 Nagl 


Ejecutamos el programa haciendo doble clic sobre el ejecutable. 


[MAG] Please register this software! q X] 


| 1 ) [BULLSHIT] Please register this software For support and you'll receive the Full 


version! 





Hacemos clic en Aceptar lo que nos lleva a la pantalla principal. 





| Remove the MAG by TOC 
Status: | Mag not removed! 


You have to remove the nag and make the program 
say itis registered when clicking Re-Check, 








cm HINTS =- | 


Vemos una pequeña instrucción de lo que tenemos que hacer y debajo una pestaña de 
"Hints". Pulsamos sobre “Hints” lo que nos desvela información muy valiosa. 


AAA 5 54 


| J) sess le E 


Change the compare so it's always right, 
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Una vez estudiado el comportamiento del programa, abrimos Olly y cargamos la 
aplicación. A continuación buscamos cadenas de texto: 


OllyDbg - Nagi.exe - [Text strings referenced in Nagl:.text] = | = | xj 
[R] File View Debug Plugins Options Window Help Tools BreakPoint-> - [8] xj 
Sei 4 X! KI bot is a Em? 


Disassembly 













Address Text string 
























66401 ee [Initial CPU selection) 

HA461615) PUSH Hagi. 443044 ASCII "naa" E 
46844166 | PUSH Hagi. 640830104 ASCII "Hag not removedt'" 

He461896) PUSH Hagi. 6463021 ASCII "Dirty crack* Nag removed not registeredt" 

BHe461889) PUSH Hagi. 660463061 ASCII “"CHAG] Please register this softwaret™ 

BHE46188E| PUSH Hagi. 66403456 ASCII "CBULLSHIT] Please register this software for support and you'll rec 
B6461660) PUSH Hagi. be4es644 ASCII "Clean crack* Good .ob*" 

Badmiimeé|PLSH Hagi. 6463421 ASCII "Dirty crackt Nag removed not registeredt™ 

64481117 | PUSH Hagi. 460403014 ASCII "Haa not removed*'" 

468441125 | PUSH Hagi. be4es644A ASCII “Clean crack* Good Jobt™ 

468441159| PUSH Hagi. be4hS26E ASCII "Thank yout" 

He461135E) PUSH Hagi. Spda22e" ASCII "Thank you for registering this softwaret"™ 

AHA461157| PUSH Hagi. Be4hS6ER ASCII "About" 

Hal ICT PUSH Haal, be46S6E6 ASCII 52,.,"emove the NAG by TDC-r*-n*n..: Coded byt: TODMt tte. SËNN, I| 
HA461185) PUSH Hagi. be4ese7H ASCII "Hints" 

H46115A) PUSH Hagi. 0403230 ASCII "---- Hinti: -----r-n*nChanae the compare zo it's always right. =r.n" 
He46110F| PUSH Hagi. be4esen2 ASCII "Waluei™ 


66401164 , 88465209 ASCII "laluez" 


b dl 
4| | + 


En la dirección 4010AE vemos el texto que corresponde a la ventana del nag. Hacemos 
doble clic y saltamos al código que nos interesa. 




































OllyDbg - Nag1.exe - [CPU - main thread, module Nagi] = |E | x 
A Fie View Debug Plugins Options Window Help Tools BreakPoint-> EJE: 
[| [| [| [| [| E = | NEU 
Aa Kill + pg € - =| ar" ? 
44081434 6830 Bas24066 mz| CHP BYTE PTR OS: [4632B401, 2 7 
HAD IL DOP .« r4 1H 
44844814230 6850 BasSe4h6H B1| CAP BYTE PTR Ds: (4832681, 1 
44401434 2e Y4 2r 
Edad 1 das * 65 21304000 PUSH Text = "Dirty crack* Nag removed not registeredt™ 
Baa 1udm3B . 6A YS FUSH 73 ControlIO = 73 (115.) 
6484681430 , FFFE Dë hing = 6644108 
HOI DOG . Es GIG SetDllglItemTestH 
Be461605 w EB 2? 
444481H4Ar > GH dp Style HB DOK!HB ICOHBSTERISE:!MB HPPFLHÜODHL 
6440169 . S 613584608 Title = "CHAG] Please register this softuaret" 
B644016AE Bo 2644064 Text = "IBULLSHITI Please register this software for 
PdL DZ FFrs B8 hüwner = 6844104 
HÉADL De, ES 49615008 MessageBox 
44441 HBE .~ EB 11 
Be461660 >» 68 4A364606 Text = "Clean crack* Good Jobt™ 
Eia Cz . BÀA YS ControlIO = 73 (115.) 
4446144 . FFFS B8 hWnd = 44461464 
Ea] 1d? .. ES 446186068 SetOlgitemTexntaA 
Eia dc .« EB HB 
6604481 BCE Ze Ed DeéBmab 
448461403 >»  B17D ac 11616086 
44441 HDA 4^ HFSS BaodgmBaad 
44401 DEG . BSD 18 6F hd 
E dL 1 EIE ed ERES 
4 + 


Hacemos clic en la primera línea del cuadro de mensaje en la dirección 4010A7 para 
averiguar el lugar de llamada: 
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OllyDbg - Nagl.exe - [CPU - main thread, module Nagi | 
[e] File view Debug Plugins Options Window Help Tools BreakPoint-> 







BE46 1856 
BE46 1830 
68441094 
4684481496 
24844814896 
46846814890 
pana 1 HAH 
DAD 1605 
DAD 168A? 
BEd 1609 
DA LGE 
BEd LGE 
2484481066 
041 HBE 
piana 1660 
Bmaadala0r2 
Baada1a864 
ARANI An? 


ah. 


^ EB 11 
> 69 4A304004 
. BH ES 






ex 44, X 


6A r3 

EE d OG 
ES 94810044 
Es 34618688 
ta ali 43| CHP BYTE PTR DS: [4432646], 3 


(| CHP BYTE PTR OS: [443266], 2 
CHP BYTE PTR DS:L4B22BBl,1 


PUSH 
PUSH 73 


EH beta rl a 


PUSH 73 
PUSH 


ai 












et 211 ka LLALLA L 


568530 Ba324006 dB 
rá 2r 

62 21304000 
6A r3 

EE db 8 
ES Belang 
EE 2r 

6A 48 
63 26204044 
EE db 8 

Es 49818688 









EF d BS 
CO ddaiaaana 


ControlIO = 73 (115.) 
hind = bäd4äi iät 
SetOlgltemTexthA 





Soll = r3 1115. 
= 66481604 


= "Dirty crack* Hag removed not registeredt™ 


HB üKiHBE ICOMBHSTERISEK:HE BHPFFPFLHCÜLDBL 
"CHAG] Please register this softuaret" 


E = “CBULLSHIT I Please register this software for 


hüuner = 6444810646 
HezsaageBosH 


Text = "Clean crack* Good Jobt™ 
ag = 7s (115.1 


hind = 44401000 


SethlatltemTevto 


Vemos que la llamada procede de la instrucción JE en la dirección 40108B, 


después de una instrcción CMP. Pongamos pues un Breakpoint en la instrucción JE. 


OllyDbg - Nagl1.exe - [CPU - main thread, module Nagi | 
[c] File View Debug Plugins Options 










DA 1860 
BE46166E 
6684481671 
Baqalar 
BE48 1876 
4481452 
46441634 


46846814880 
2484810394 
26401096 
6068401096 
26844816890 
6068401 50A0 
46448165 
be461607 
Badia 109 
adii HAE 
BE4H 1 HES 
äddi i HBE 
BE46 1 HBE 
adii HER 
Bede 1eCe 
060461504 
ARAGI An? 
4 



















vel Sé 27 
> | 68 21304000 
. |6 73 
> ‘eA 4ü 


«^ EB 11 
> 68 4A504000 
. BH FS 


Window Help Tools 


AR 2 





ai 






el 44| X 


6A 73 
EE d BS 
ES 9/81 0004 

Es 34818688 

568530 Ba3240680 HS 


r4 12 
56830 Ba324060 m2 
r4 1H 
Geer E63248066 Bl 


Pi bäi) 


PUSH 73 
PUSH 

















CHP BYTE PTR DS:L4B22BB81,.2 
CHP BYTE PTR OS: (483268), 2 
CHP BYTE PTR OS: C46s26e],1 
PUSH 


PUSH ?3 
PUSH 








FF?5 Ba 
ES Gboloopog 
EB 27 





PUSH 48 
63 61304000 
68 356304060 


FF?5 Ba 
ES 4981888 





EF Ba 
FS dap) aan 


OllyDbg - Nagi.exe - [CPU - main thread, module Nagi | 





46401076 
46401 a7E 
46481 a32 
DAT DA 


6461450 
Bgdd1]24 
Adal 
Adal ASE 
DL DD 
Adal ARA 
Adal ARS 
Ba4616A7 
Ba461609 
Adal ARE 
Be4616B3 
6401 HBE 
A64a1 ABE 
648441 AaE0 
DA DC 
DA DC A 
DAD DC e 
Be4616CC 
B64616CE 
AAAA An 


[e] File View Debug Plugins Options 


Window Help Tools 
[m 44 X| — m II 


+ #4 xd 
ES 34010000 


eH3D Bus248BH B3| CMP BYTE PTR DS: [4032501,3 
2| CHP BYTE PTR DS:L4832B81,2 
31 e BYTE PTR O05: (483268), 1 


PUSH 
PUSH Ta 


Eps =: 


ES 44010008 
EB Op 
ES Dënn 


2770 m 13151 Aaa CAP 


Toast = pet iuba 


Do = 3 (115.) 


| 


BreakPoint-= 


ControlIO = 73 £115.) 
hind = 66448166 
SetOlgltemTextA 


Text = "Dirty crackt Nag removed not registeredt™ 


hind = 66441060 
SetDLaltemTesutH 


Sty le 


= NB_OK ¡ MB_ICOMASTERISE 1 ME_APPLMODAL 


Title = [NAG] Please register this zoftuaret" 


Tent = 
hüuner = 44481066 
HessageBoxuA 


Text = "Clean crack? Good Jobt" 


hind = Dap LD 


SothilattoemTouto 


BreakPoint-> 


Text = "Dirt. 
CeontralID = = 
hhind = po24012 
SetDlaltemTestH 


Sty le MHB_OK i MB_I! 
Title "THAG] Fle: 
Text = "CBULLSHITI 
hOwner = madz4dizH 
HessageBoxA 


Text = "Clean cra 
ContralID = 73 11 
hind = HaA246812A [ 
SetDlaltemTestH 


T 


DD 
GISISISEAKIS 
DO 
DD 
Dol 2E Do 
Be1SFORS 
BE461826 
Be1SFOre 


naqal BSB 


Bazs 
Balb 
jazz 
Haz 
MESE 
BEBE 


LastErr 
DDDDD ze 


empty ~z. 
cÉ, Dé DEE d E OD E Ate d 
-UNORN E DpoI2EEER FFFO 
3.371271 7666465519268e-49 
-UNORN 5008 meds E13 
2. Sr rr 24hh8968 19528 EIST AR, 


empty 
empty 
empty 
empty 
empty 


empty -1. 


"CBULLSHIT] Please register this software for 


Reiniciamos la aplicación y pulsamos F9. Nos detenemos en el Breakpoint. Cambiamos 
el valor de la bandera Z para no tomar el salto: 


Haa1.688048182BE 


Hagi. BE46 1656 


S2bit BLFFFFFFFF) 
S2bit BLFFFFFFFF) 
S2bit BLFFFFFFFF) 
Sbit BLFFFFFFFF) 
aebit FFFOES@e( FFF) 
HULL 


ERROR_SUCCESS [ SEHBHHE 
(HO, HB, HE, A, HS, PE, GE, E 
r6244r5926394855153be-4 





Jade EE, d D deet 
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Pulsamos F9. 





Remove the MAG by TDC 


Status | Dirty crack! Mag removed not registered! 


You have to remove the nag and make the program 
say iE is registered when clicking Re-Check. 


el i: HINTS :: }=- 


Parece que no nos hemos parado demasiado en analizar el código. Reiniciamos Olly, 
pulsamos F9 y nos detenemos en el Breakpoint. Volvemos a cambiar el valor de la bandera Z. 
Pulsamos F8 dos veces hasta llegar al siguiente salto. 

















OllyDbg - Nagi.exe - [CPU - main thread, module Nagi] k Al > 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> = || > 
ir 44 X| KI bot BI M a Sak 











ack ere 
ControlIO = rs (115,1 
("Brought to you by TOC, 2005" class= 






hee = "Dirty crackt Hag removed not registeredt" 
L 










FFrs D hind = 8H25812H 
440401 AA ES 66016000 SetOlgitemTextaA 
He461605 EB Er 
HAL HAT 6A dp Style = HE ük:iHE ICOMBSTERISE:HE DPP RHOUOL 
Elda 1d BS 61304664 Title = "CHAG] Please register this <oftuaret" 
Be4616RE BS S68 38408 Text = "[BULLSHITI Please register this software for 
Be4616B3 FFrE D hOwner = BHH2bBHlizH ("Brought to you by TOC, 2865" clas 
HAL DP ES 498016088 MessageBox 
He4616B6 EB 11 
64414660 BS Ada Text = “Clean crack* Good abt" 
Be461eCe = = ContralID = FS (115,1 
Ee a 1 ua , FFrB5 H8 hind = Bðz5612A ("Brought to you bu TOC, 26065" class= 
SetDlaltemTestH 


Badaiac? ||. ES 44618668 
B ns 


Ba4noiacc H 
ES Dn 


BE4618CE 
668441603 S170 BC 11618668 


BE46180A || .« DEG Ba3aBamam 
BE4G1GE8 ||. Gel 18 SF 
BadaiaEA || .- 75 * 


E 69 
do) GE, Fo Ce 
al nm 


Vemos que saltamos hacia el “good boy". Cambiemos por tanto la instrucción para que 
salte siempre al llegar a 401094. 


x 
UM SHORT 00407 060 -| 


I Fill with NOP"s Cancel | 


NES 
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OllyDbg - Nagl.exe - [CPU - main thread, module Nagi | - |E | x 
[e] File View Debug Plugins Options Window Help Tools BreakPoint-> = |a| x 
















Es 34010600 
25830 EB324060 a3 


r4 12 
256830 EB3240600 Be 
r4 1H 








Ca m m mmc 
ca ca 4 kk 0 C Ps 
E PLE C e [T] C3 74 





CHP BYTE PTR DS: [4022601,3 
CHP BYTE PTR OS: [4022601,2 








Sen déi NI Kl bat il - SEX 
GI 10304600 Text = "Mag not remouvedt'" UA 
6A Fs ra ControlIO = 73 (115.1 
FFrs uma hWnd = BAZEH12A ("Brought to you by TOC, riso 
ES Oplo SetOlgitemTextaA 


448468140 . |2650 Bis246866 81) CHP BYTE PTA DS: [403266], 1 

444681034 v| EB Zr JHF SHORT Haal, 0ëd4ii GBD l ; 

Eds 1 dms + 58 21584088 FUSH Text = "Dirty crackt Hag removed not registeredt™ 
440401436 . EH 73 FUSH 73 ControlIO = 73 (115.1 

4484681430 . FFFS H8 FLISH hWnd = BHZ6012H ("Brought to uou by TOC, zBHd5"',class- 
64461 DU . Es 6BS1 8668 SetOlgitemTextaA 

BHe461685 EB 27 

HAL De > 6A dp FUSH 44 Style = HB üUkKiHE ICOHBSTERISK:HE BHFFLHÜOLDEBL 

Elda umm . 58 513446640 Title = "CLNAG] Please register this saoftuare*t" 

e461 RE . 66 26584060 Text = "CBULLSHIT] Please register this software for - 
H4 E3 . FFFS BS hOwner = mazégizH ("Brought to uou by TOC, 2665" ,clas- 
amada i HBE MessageBox A 


ES 49816868 

H ^ EB 11 

BE4+61660 |} > 6S 4Bsadamn 
ce ||. 6A 73 


FETE Ae 





EI IH 





| Remove Ehe MAG by TOT 





Status! | Clean crack! Good Job! 


You have to remove the nag and 
say it is registered when click 







al the program 
Sheck. 





About 


| Close | 





[see | 


ke = "Clean crackt Good Jobt" 


Control = ?8 (115.) e 
Klin — AAS 20 FP Reonht trm nmi ha TT" TAAAC" place 
H 


Podríamos guardar este parche y cambiar el primero en la dirección 40108B para que 
nunca salte y asi guardar los dos parches para crear un nuevo ejecutable que guradariamos en 
nuestro disco duro. Pero llegado a este punto es conveniente resaltar que por regla general 
siempre va a ver varias formas de parchear un programa. Así que veremos a continuación una 


forma alternativa de parchear la aplicación. 


Si nos situamos en nuestro Breakpoint podremos observar que la colección de 
instrucciones ahí presentes se podría traducir en un lenguaje de alto nivel de la siguiente forma: 


if (contents of 4032B0 == 3) 
jump “Dirty Crack” 
else if( contents of 4032B0 == 2) 


jump to “Show Nag Screen 


http://masteracsi.ual.es/ 


else if (contents of 4032B0 == 1) 

jump to Good Boy Msg 
else 

Display “Dirty Crack” 

Sabemos que el contenido de la dirección en memoria 4032B0 siempre será 2 ya que 
por defecto siempre aparece el nag. ¿Qué pasaría si nos olvidamos de todas estas clausulas 


if/hen y saltamos directamente hacia nuestro “good boy”? De esta forma, al reemplazar el 
primer salto para que salte siempre al “good boy”, solo necesitamos un parche. 






OllyDbg - Nag1.exe - [CPU - main thread, module e Nag! 
[e] Fie view Debug Plugins Options 
ee 44 X| IH be 


EE db DG PUSH 
ES "Hala 
ES 34616688 
2030 BöS24000 835) CHP BYTE PTA 05S: [4632661,3 


r4 12 
mE Dapp B2 Chip ESTE PTR Dër ZG BYTE PTR OS: [4683260], 2 


al saap. 
00491994 , Assemble at 00401064 


66441096 : ABeUAneT onaniner 
a0401030 JMP SHORT 00401060 
660448160 : 

DAD HAS ote 
[da dpa ^» 6A dp 


asdaieas ||. es 61 [e Fillwith NOP" | Assemble | | 
mm4mimnE |. 6s ss Lancel 
aadoiees ||. FFFS 
mm4mimge ||. ES 4 
a04010BB || .- EB 11 
amamimen || > 62 4A204000 
am4ninr2 |. 6A 73 












Window em Tools BreakPoint- > 


eI +: E 


A a hind = 88286120 ("Biz 
SetOlgitemTextA 






















Al 






ET-agebos 






Text = "Clean crack 
E = Y3 [115 


andaiaBc4 ||. FFYS BS hind = mazsai2H ("E 
DAD CZ", ES 44616808 Set[LlaltemTeutH Ke 
farai 1 ART . FER mm 

4 k 


Reiniciamos la aplicación y activamos el parche en 401084. 


Brach 


Address | Size] State Old Heu Commen t 





468401034 fea Active | CHP BYTE PTR DS: E4A832BB81, 2 JMP SHORT Hagi. 88461660 
DA 1894 2. | Removed JE SHORT Hagl. 66481660 JHP SHORT Haal, 86461660 


Pulsamos F9. 
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OllyDbg - Nagl.exe - [CPU - main thread, module Nagi | 


- [8 | 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> - [& | 
Running el dad sl KI n ee) sai al oa o 












4684481434 vr EB 3T JHP SHORT Nagi. 66461860 
46481456 36 MOP 
Dale 98 





BE4H1 ass 98 
484481432 98 
46441 4SA au 


r4 1H 
am4a1a83D 256830 EB324060 81 
4684481494 rá 2r 
am4gigs6 || + | 68 21584806 
aedalaSB |}. | 6A 73 
HE4H1690 |}. |FFr5 63 
amdaianma |}. | ES 66616006 
a644816A5 || -~| EB 27 
HE4+E16A? || > | 5A 48 
BE4616H9 |}. | 68 613040060 
amdgisHE |}. | 68 seasadana 
amdginps ||. | FFPS 88 
AB4E1GBS |}. | ES 49010606 
BE4E1666 || .~| EB 11 
BE461660 |f + 265 4A304006 
HE4H16Ce |}. 6A 73 
BE4+H18C4 |}. FFr5 88 
AB4E18CP |}. ES 44010606 
aadA ACT . ER mm 
4 


JE SHORT Haqi. 66461680 











| Remove the MAG by TD 


Status: | Clean crack! Good Job! 


You have to remove thf jag and 
say it is register AE 


nw, 








É program 
"Check, 





| -— 11 HINTS 5 kes- 


| Close | 


JE SHORT Magl. 6048159 
CHF BYTE PTR OS: [46832867], 1 





a 


Text = "Dirty crackt Hag removed not registeredt™ 
ControlIO = 73 (115.) 

hind = rcC92B686 

SetOlgitemTextaA 

Style = HB ükK:iMBE ICOUNBSTERISEK:MBE BHFFLHMCÜLDBL 

Title = "CHAG] Flease register this software?" 

Text = "CBULLSHIT] Please register this software for 
hOwner = rCS32B685 

MessageBox A 


ControlIO = 73 (115,1 
hWnd = rC92ZB6S86 


SetOlgitemTextaA - 
| 


E = "Clean crack* Good .ab*" 


Podemos ver que hemos llegado al mismo resultado. 


Otra solución incluso más elegante sería pensar: “Si el contenido de 4032B0 siempre es 
igual a dos, y para alcanzar el “good boy” necesitamos que sea igual a uno, porque no poner un 


uno en ese lugar de la memoria de tal forma que siempre llegaríamos al ‘good boy’. 


9 99 


Reiniciamos la aplicación, seguimos la dirección 4032B0 en la ventana Dump e 


editamos el binario para que sea igual a uno. 
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-OllyDbg - Nagl.exe - [CPU -main thread; module Ñ 1] EET BLIES 
[e] File View Debug Pes Sum E Sé Tools BreakPaint-:* . _ [8 x] 










Running. 
























63481100 [| ze WE ES e A | Reaiste 
BH4H110F || > | saca AUR EAR. EA pa OL 
BB4BilE1 ||. | cens Bas29066 alf MOU BYTE PTR DS:[4632B07, 1 ECH Ba 
BE4G11ES || >| EE op aparen ED aad 
AR4+h11ER A LS EB Sie 
BB4Bl1EB CC HTS ESP op 
padmilEC | $- FF25 28204606 DWORD PTR OS: Ctéuserse. Dis userz2.DialogBogsParamH EEP op 
G@G4811F2) 5- FF25 10204000 DWORD PTR OS: [<fuser32.Eng userZ2.EndDialog EST BB 
BB4B11FB | $- FF25 14204008 DWORD PTR D&:fé&userS2.Get usera2.GetDlaltem EDI aa 
BB4B11FE | $- FF25 28204006 DWORD PTR OS: C¢tuserf2.Los user32.LosdiconA 
BadaizmHd | §- FF25 10204066 OWORO PTR DS: Cthuserdse.Mes userzsz.hHezzaaeBosH EIF ab 
BB4Bi2BH | $- FF25 24204000 DWORD PTR: DS: Luten CN EE Lee RE rd ca E 
BB4Bl21B | $- FF25 18204600 DWORD PTR DS: Céu Pi € 
BBdaizi& | .- FFZ5 B4204600 DWORD PTR DS: Cé&k üB s 
BBdal21c | £- FF25 Bürnannn DWORD PTR D5:Le&k 71 D 
Ba4Bis22 | +- FF2E-B2204000 IF OWORD PTR DS: [48k sa E 
00461228 Ba DE Ba ta 
Badais2o D DE BB p.a 
BB4B122H Bg DE Bu DA L 
66481225 Ba DE B8 UR ue 
GES Ba DE op EFL ab 
BB4Bl22D BB DB op STA em 
HadBi22E Bg DE Ba STI en 
BB4B122F Ba DE 68 ST» em 
00401236 Bg DE Ba 273 en 
pa481231 D DE Ba STA. en 
BB4Bl2s2 Bg DE BB STE emp 
BB4B81233 BB DE B8 STE em 
pa4a1234 Ba DE op eT? ere 
BB4Bl2235 BB DB 68 i 
GES D DE op FST ep 
| an4ni227 Ba DB BB ECH B2 
00401238 Gë DE B8 E — — 
Ardhi 73a HR ng mma : 
4 + 
66461 1EA=Ha91. 00401 18 

n EE FOG4 MON 
Address | He: 4H zl : lus: Dee | ABISFESS ie 
GE ' ED ai 66 66 BB BB 66 66 op op GO OO 1 Ener | BBISFETB 
BB4BS2cH ba BB BB BB op BB BH BB BB BB BB! tEDinm | papapapa 
b0403200/60 Go BE 49 49 06 BE BB pA GE) BB GA BO GO 1 nia | SE 
BBa4BS2EB|HBB 66 66 BB BB op 66 BB BB BB BB op op HE | FOLS | Fobsasta 
Ge4asera 66 BE HEB 66 op 66 op HA HA GA op Cp op Bä | b-enin | soraceer 
Ge4mzz 68 BB BB 66 BB GB GB BB GB GB BB BB GB BB BB DÉI Pees oeisrooo | Fapanoso 
60402310/60 Be BE 49 Aa Aa BD 60 OG B) Ba GA BO 00 DD OG |INNE Gë | poop SA 
0640352000 BB ER BB HB BB GB BH BB ER BB ER HB BH ER [eee nean nn TE acisenss | TIhosRRE reco rM 
4 + 4 + 





Otra cosa a tener en cuenta es que siempre va haber varias formas de llegar al área que 
nos interesa estudiar. Por ejemplo, si no existen cadenas de texto u existiendo no nos aportan 
una ayuda significativa, podemos buscar por “Intermodular calls” 





OllyDbg - Nagl.exe - [Found intermodular calls] 
[R] File View Debug Plugins Options Window Help Tools BreakPoint-> - [&] x| 







el 44 X| KU Fe) xl + Ey 


Address | Disassembly Destination A 
[Initial CPU selection!) 


60401000 









640441524 uzser3z.DBialoaBasFaramH 
6461176| CALL <JHF.&users2.EndDialog? usersz.EndDialoa 

66491184| CALL z.hHP.&user2z.EndDialoa- uzer3z.EndDialag 

6461626| CALL <JHF.&kerne lS2. Ex itProcess? | kerne lsc. ExitProcess 
660441550 EE uzer3z.hBetDlaltem 

e461 bee kerne |Se. Get Modu leHandlea 


66441643 


AISEIS EK 


4sersz.beadIconH 












Fidi l HBE user " on 
66441146 < IMF. &usera3z.HezsaageBosH? uzer3z. MessageBouH 
66401164 JIP, user, Mes=sageBoÉ HA; Weerse. Mes=sageBoxA 
46441192 zJMP. E MessageBox A> uzera3z.HMezszsageBousH 
DO LE = En OMe SEH Sel En OMe SEH 
Ha461671) CALL HP, userga. SetDlaltemTestH wserse. ZetDlaltemTestH 
madaimma CALL zHP.&users2z.SetDllaltemTestBh userzz.SetDlaltemTestH 
ma4aimc?|CcHLL zHP.&Suser22.SetDlaltemTestBb user2z2.S5etDlaltemTestH 
madaiiis|cHLL zJHP.Eusers3z.SetDlaltemTesth uzserzz.SetDlaltemTestH 
mnadeaii2z1|CHLL z.hHP.£€user2z.SetDlaltemTestBb user22.5etDlaltemTestH 
664441132| CALL “UNF. &users2. Set Ol lagi temTerth userz2.S5etDllaltemTestH 








En nuestro caso existen cuatro llamadas a MessageBoxA. Hacemos clic con el botón 
derecho en cualquiera de ellos y seleccionamos “Set breakpoint on every call to 
MessageBoxA". 
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OllyDbg - Nagl.exe - [Found intermodular calls] 








Address 


26481606 
46844810824 
Halle 
q644811A4 
66441626 
4644816850 
66401002 
4644816845 
06401163 
Hd) HBE 
Be4a1146 
464481164 
Bao481192 
6684481653 
Bao4gia,71 
piaa4ad1umdunma 
Ba4agiac? 
6481116 
q68441121 
BA441152 


Al 


[R] File View Debug Plugins Options 


Window Help Tools 


BreakPoint- > 


Sen dd Si Kill S p) oa SER 
Disassembly Destination a| 
[Initial CPU selection) 
.Suzers2z.DialogBouParamh usersz.DialogBosParamH IR 
»SHsers2,EndDialog> uzer3z.EndDialag 
.*Susera3z.Endbialoa? user, EndDialog 
, Sckerneläz, Ex itProcess> | kerne lo2.Ex ttProcess 
.Susera3z.hBetDlaltemz uzser3z.hetDllaltem 
¿kernel 132, BetHodu leHano kernels. GetHoduleHandleA 
.Suseraz.LoadIconH- user3z.LoeadlcoonH 
.Skernel32.lstrompH- kernel3z.lsetrempH 
¿Else MessageBor A; uzer3z.HessageBnsH 
»&Users2, HessageBor A> userz2z.HessadgeBosH 
EEN ee O 
¿user Mes=ageBox Usera. Mess i i 
.&useraz.SendMezzageH?* | userse.Senc Follow in Disassembler Enter 
Pc dcc 
.&useraz.Set[laltemTestHBuser2z2.5et i 
a e SEN E E user3z. zh ee URN Se , 
, Bu Serzz, SetOlgiltemTerxth userse. Set Conditional breakpoint ShiFk+F2 
¿«Euser32.5SetDlgltemlextA userse. SetL a kp l 
-huserd2.SetOlgitemTexth users2.SetC Conditional log breakpoint ShiFt--F4 
Help on MessageBoxA, Ctrl+Fi 
Set breakpoint on every call bo MessageBaxA 
Set log breakpoint on every call to MessageBox} 
Set breakpoint on every command 
Set log breakpoint on every command 
Copy to clipboard V 
Sort by k 


Appearance 





Si ahora ejecutamos la aplicación nos detendremos en la siguiente línea de código: 


OllyDbg - Nagi.exe - [CPU - main thread, module Nagi | 





[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 






Dan E 
4684481460 
46448142 
26448184 
26844818 

Pr 


naqal ACE 
46481603 
Dap lo 
naqal HEH 
naql HE4 
naqal HES 
naqal HEE 
naql BFS 
naqal EF 4 
Haqli HFE 
264818FO 
68481104 
40481106 
Dap) 10E 
468481160 
6481116 
44441115 
1 


en 44. X 


| Il 






e vU d > 


PUSH 
PUSH 
PUSH 





rd 2v 

68 21304060 
GH r3 r3 
EE Ba 

ES 66616686 
EB 27 

GH dp 


68 561304060 
68 255604060 


PUSH 
PUSH 
PUSH 











FFr5 Ha PUSH 
ES 49818888 

EB 11 

68 44304060 PUSH 
6A r3 PUSH 
FFr5 Ba PUSH 
ES 44616868 

EB op 


ES Demmanas 

S170 mc 11616688 
HFSS Bananas 
Sgro 18 6F 

fo 69 

ES C4mnmanas 

5850 BES24hHH B3 


CHP 
Mz 
CHP SE 


= 


CMHP_BYTE PTR 05: [4032601,3 










74 12 JE SHORT Haal, 00401106 
203) Bes24000 az pu BYTE PTR DS:r4a32B81,2 
2630 E6324666 oi CHE BYTE PTR DS:r4ass2B81], i 
T4 22 JE 

68 21264008 

6A 73 

FF75 Ge 

ES FEBaaanaa 

FR 3A 


iz? 


Control ID = 73 [115.1] 
hind = mazimBisE ("Brought to you by TOC, 2005", class="432778 | 


Eë = "Dirty crack* Hag removed not registeredt™ 
SetOlgitemTextaA 






Style = HB Ok! ASTERISK i MB_APPLMOOAL 

Title = "CNAG ase register this softwaret™ 

Test = "IBULLSHITI Please register this software for support 
hOwner = BHZIBISE "Brought to you by TOC, 2665" class=" #327 
He==adeBoxA 


ControlIO = 73 £115.) 
hing = BHZ1B1SE ("Brought to uou by TOC, Z805" class="#527rH 


(eet = "Clean crackt Good Jobt" 
SetOlgitemTextA 


Text = "Dirty crack* Haa removed not registeredt™ 

ControlIO = rə (115.) 

hing = BH2Z1B135E ("Brought to you by TOC, Z805" ,class="#527rH 

SetDlaltemTeutH m 
k 


Que es precisamente el nag que aparece nada más ejecutar el programa. 


Conclusión: tengamos en mente que siempre vamos a tener varias opciones para conseguir 
nuestro objetivo. 
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7.11.2. Nag2 


Hacemos doble clic sobre el ejecutable nag2.exe y aparece la siguiente ventana: 


AAA — 3 x 


| 3 ) Oh, do u like this program? You are using the trial wersion.. visit 


blablabla.. 


Y después de hacer clic en Aceptar se abre la ventana principal: 
x 


Killdag - KiTo 


Cerramos la aplicación y la cargamos en Olly. 


Nota: Si hemos instalado el plugin IDAFicator nos aparecerá entre otras cosas un grupo de 
botones en la barra de herramientas que hará nuestra busqueda de textos de cadenas mucho 
más facil. También tendremos acceso a un nuevo elemento en la barra de menu: “BreakPoint- 
>”. Si desplegamos la pestaña podemos poner breakpoints a las API's de forma automática. 












dudaTaaa HHH 












à | Registe 





Switch (cases 18..1111] 





As HDD 
Els mBalsFFBB 
Fox T31FRB94 ntdll.EiFast&E5ustem:allEet 


Pulsemos pues el siguiente botón para acceder a las cadenas de texto: 





js BEI] 
CH BalsFFBEd | 

EDK vYC91EB94 ntafl.kifFastSystemCal lRet 
^A dEEUGGOg 

ESP BHalsFFC4 

EEF &BBal3FFFH 

ESI FFFFFFFF 


ENT TrA TFD one Poa 





Hacemos doble clic sobre la séptima linea en la que aparece el texto de nuestro nag. 
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OllyDbg - Nagz.exe - [Found strings are:] = E |> 
[R] File wiew Debug Plugins Options Window Help Tools BreakPoint-> CAE 
edd sl Kl kat ELE ali a : 
Address [|Disassemblu Text string 
Be461668) HOW EAS, OWORO PTR SS: LESP+21 (Initial CPU selection) F 
6416831) PUSH Nag2. Bd, 29 ASCII "Info" IN 
Dap 856 Hage. 64405130 ASCII " KillNag sn I did this one for your newbies who k 
Dall Haoz, BAD l 75 ASCII "Hagt™ 
Dale Haoz, BAD IC ASCII "Oh, did u forget this one? :P" 
He4h187A Hage. 604405154 ASCII "Haag**" 
Dapp Hage. 64465 LD ASCII "Dh. dou like this program? You are using the trial ver 
Dal CF Haoz, BAD, 224 ASCII "maecoree.dll" 
Dal 0E Hage. DAD, 224 ASCII "Cores itProcess" 
A64014FS Hage. BaAdAb6=34+ ASCII "<program name unknowns" 
Dal 2p Haoz, BD 20 (Re E EE 
e461 SSF Hage. 4456514 ASCII "Runt ime Errort=n=nProgram: "' 
Dale) Hage. Be465614 ASCII "nn" 
a6441550 Haoz, BADGE ASCII ,Hierosoft disual C++ Runtime Library" 
Bram2mEC Haaz. BAdABEOA ASCII "user3z.dLlI" 
Bam 1d]? HNag2. BaAdaAb6C4 ASCII "HMezzageBaosH" 
AA4hF118 Hag? . Be4H5664 ASCII "aetHctiwvelindauw'" 
Häq4äz izi Hagz. Be46560 ASCII "GetLastAct ivefopup™ 
He462156 Hag2, Be465684 ASCII "GetUserObject Informat ton" 
Bam i 4E Hage. BE46566C0 ASCII "GetProcessllindowSt at ton" 
HE4HS08E) MOL EDI,MHaaz.madmgsser ASCII "Unknown security failure detectedt" 
He4eS093) POL DWORD PTR 55: CEBP-1281],Hag2.6 ASCII "A security error of unknown cause has been detected whi 
a484683044| HOW EDI, Nag2. DA, 20 ASCII "Buffer overrun detectedt™ 
Be463009) HOW DWORD PTR SS: EEBF-1281.,Haa2.5 ASCII "A buffer overrun has been detected which has corrupted 
Be4HS002| PUSH Nag2. be4eo5e34 ASCII "<program name unknowns" 
a64dASE1S| PUSH Haaz.tmuudms5e3s ASCII Viia” 
Aäq4h3E43| HOU EDI, Hagz. 4405616 ASCII "n*n" 
HeE4HSE4F) PUSH Hag2, be4656EC ASCII "Program: " 


ARdaA3Er3| PUSH Hag2, DRAGEEEG ASCII "Microsoft Jisual C++ Runtime Library" 





al mil 


OllyDbg - Nag?.exe - [CPU - main thread, module Nag2] = E 
[e] Fie View Debug Plugins Options Window Help Tools BreakPoint-> - | | 


ir 44 Si Kl bot el a 


















ai 




























aa4a164F 6A Lë FUSH 18 Style = MB_OKIMB_ICOMHAND!ME_APPLMODAL — 
66401851 68 72514000 PLISH Title = "Maat" 

66401656 68 53514000 PLISH Text = "Oh, did u forget this ane? :P" Ea] 
AG461658 56 FUSH ESI hOwner = FFFFFFFF 

66401850 FF15 CeSed4eee CALL DWORD PTR DS: (<&USERS2. Me Lhies=ageBoxA 

Ba4niaéz | . 6A mi FUSH 1 Result = 1 

Ba4n01m64 | . Ee FUSH ESI [Pina = FFFFFFFF 

Ba4a1BÉ5 | . FF15 CCSe4eee CALL DWORD PTR DS:rz&UsERS2. En LEndDialaa 

Ba4giseB| . SE POP ESI kernel22.T7C816D4F 

Ba4niaG6c | . BS oipopoon MOL EAM. 1 

aa4aniarTi1| . C2 1858 FETA 18 

Baamiar4 | > 2864024 84 MOL EC}, DWORD PTR SS: [ESP+4] ntdlil.7C3928738: Case 118 (Un IMITDIRLOG) 
Ba4niay28| . 6A 4a PUSH Ap Style = HB OüEK!MB ICOMBSTERISK!HME BPPLHOD 
Ba4no1ayhn | . 68 505140040 PLISH Title = "Nagtt" 

66441arF = ÉS 465140604 PUSH Text = "Oh, do u like this program? You 
Ba4mime4 | . 51 FUSH EC! hOwner = B61S3FFEO 

Badeiess | . FF15 C3504000 CALE DWORD PTR OS: (<&USERS2. HelHessaaebouzt 

A64B1BSB | . ES 61666000 MOL EAR, 1 

404010594 . C2 1888 RETH i& 

aadalas3 | > 8B5424 84 HOU EOS, DWORD PTR SS: [ESP+41] ntd ll. 709207381 Case 18 (PL CLOSE) of sw 
aagalBs? | . 6A ma FUSH & Result = a 

aadalBsa | . 52 PUSH EDX [Pina = TCS1EE94 

Ba4a1BsSA | . FF15 CCSe4eee CALL DWORD PTR DS:rz&UsERS2. En LEndDialaa 

Ba4noiana| > BS nimaanaana MOL EBRX.1 Default case of switch 004614021 

664416A5 C2 1066 18 

Baa4a1an2 EG IHT2 

aa4a1an9 CC IHT3 

ag4ao1ann cc INTS 

ag4a1a8BE cc IHT2 

ag4aianc GE INTZ 

aa4a1ann ČE INTS 

aa4a1BAE ER IHT2 

Bg4a1a8BF ER IHT2 

Ba4aisga ltz 2E4424 84 MOL ERX.DWORD PTR SS: [ESP+4] ntdll.7C92n0r28 

onse (am [PUSH an Listen = RL — sens [Ea 
4 + 


Lo primero que vemos es que el nag se encuentra dentro de un método autonomo. 
(Tiene una instrucción de RETN al principio y al final). Sabemos por lo tanto que es llamado 
desde algún lugar de la aplicación. Hacemos clic en la primera línea correspondiente a la 


dirección 401074 y vemos que se accede a ella a través de la instrucción JE en la dirección 
401012. 
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OllyDbg - Nag?.exe - [CPU - main thread, module Nag? ] 
[e] Fie ` View Debug Plugins Options Window Help Tools BreakPoint- = 
ix 44 X| e Se) HE) bL al 


 BHFS4 Senna 


s 


[anni E, bas 























ai 










































































. 20 0041660 SUE EDN, 160 = 
e di 6B 
. 148 DEC EAM 
S 1 el 74 B5 
68401681 . | 23C “OR EN, EAS Default case of switch 00401904 
Ba4nigia | . | C2 1608 RETA 16 
Bada1B610 | > | 6FB74424 ac HOUSEN EAX, WORD PTR SS:EESP-CI| Case 111 (un COHMMBRHD) of switch 04461004 
asdaiB21 | . | 20 E9G36008 SUB EA}, SES Switch [cases 3E%,.3EA) 
Bb41826 74 22 JE 
6401025 48 DEC EAM 
S S BB4424 B4 HOU EAM, ntdll.TC928738; Case SEA of switch BB4n1 
6A 48 PUSH 46 Style = MB OüKIMB ICOMRSTERISE!ME RPPLHOD 
ES C5246000 PUSH Title = "Info" 
62 50514006 PUSH Text z " KillMag «n I did this one 
Eë PUSH Ep hOwner = NULL 
Ade ESC FF15 C8504000 [CALL DWORD PTR OS: C<8USERS2.Me LMessageBoxA 
48401042 Es miasanasan HOLU EAM, 1 
66401047 C2 1064 
DAD) DAD Ee Case 3E9 of switch 00461621 
468401046 5E7424 B8 
DAG) DAF ep 18 Style = MB_OK}ME_ICONHAND! MB_APPLMOOAL 
48401951 &B 79514000 Title = "Magt" 
66461656 Gë 55514860 Text = "Dh, did u forget this one? :P" 
Bag4niB5E Ee hüuner = FFFFFFFF 
00481850 FF15 C8504000 [CALL DWORD PTR DS: C<RUSERSZ. Me LMessageBoxA 
46401662 6A Bl PUSH 1 lesult = 1 
BBAB1B6d 56 PUSH ESI [ tina = = FFFFFFFF 
DAD) DEE FF15 cc5m4maa (CADE DWORD PTR OS:(<8.USERS2.En LEndDialo 
Bag4niB6E EE POF ESI kerne 182; 7C816D4F 
aadalB5r BB 0150006668 MOL EAM, 1 
oe . | C2 1660 18 
An4B1873) > SBB4C24 B4 HOU EC, DWORD PTR SS: [ESP+41 ntdll.rC828738; Case 116 (WH IMITDIRLOG) 
Medaigem| . 6h 48 PUSH Ap Style = MB_OKIMB_ICONASTERISE !MB_APPLMOD + 
4 + 
Ponemos un Breakpoint en la dirección 401012. Ejecutamos la aplicación y Olly se 
detiene en 401012. 
OllyDbg - Nag?.exe - [CPU - main thread, module Nagz] " EI 
[e] File wiew Debug Plugins Options Window Help Tools BreakPoint- = - LÉI 












[anni fae bas 





e dd X| KI at ll +: 





SL 




















































werd BE T 
jad4aiagi14 | . |48 DEC EA} 

aa4aia815 | el 74 65 JE 

Ba481817 ssca “OR EAH, EAS Default case of switch 60401004 
Bg4a81819 C2 1800 RETA 16 

Ba48181C > AFE74424 DC MOU2s EAS, WORD PTR SS:EESP*CJ | Case 111 (UR COMMAND) of switch 66401804 
Ba4a1a8z1 20 ESa2a0aan SUE ERX,3E9 Switch (cases SE9..3ER) 

Ba4aimss& | el 74 22 

Ba4aia228 | . | 48 DEC EAH 

Ba481ms29| el 7E 75 JHE ERN CREE cau s a 

Ba4aia2B | . | SB4424 O4 MOL EAH, Case 3EA of switch 60401621 

aa4aiazF | . | 6A dë FUSH 46 Style = MB DOE!MBE ICOMRSTERISE!ME BFFLHOD 
añdaias1 | . | 68 ac5s4ana PUSH Title = "Info" 

ae4oiese | . | 68 80514006 PUSH Text z" EillHas «n I did this one 
Ba4aia2Bp| . | ER PUSH ERX hüuner = FFFFFF28 

aam4aimsc | . |FFi15 Cesa4aaas CALL DWORD PTR DS: (<&USERS2.Me kriessaaeBosn 

añdaiadz | . | BS a1aaaaaa HOU EA}, 1 

Ba4a1847 | . | C2 18288 

Ba4ai84Rn | > | 55 Hag2. 668401066; Case SE9 of switch B84n1a8 
Ba4aiag4B | . | SBr424 os 

aa4aia4F | . | 68 16 Style = MB DE!MBE ICOMHRND!HME. RPPLHODRL 
añda1651 | . | 68 78514000 Title = “Hage 

Ba4aiag56 | . | 68 58514006 Test = "Oh, did u forget this one? :P" 
Ba4aia5Bp| . |56 ESI hOwier = 06401666 

aeadeiesc | . |FF15 Cese4aan CALE DWORD PTR DS: (<&USERS2.Me LHessageBouR 

Ba4aiaé62 | . | 6A 81 PUSH 1 esu Lt 1 

aa481864 | . | 56 PUSH ESI [ hina = = 00401000 

66461665 | . |FF1S Cc5a4aaag CALE OWORO PTR DS:rz&llsSERS2. En LEndDialaa 

Ba4aiaeg | . | SE FOF ESI USERZZ, SE ER 

aag4a186C ES Goin HOU EA}, 1 

aa4a1671 C2 1006 RETA 16 

a6n4d61074 > 2284024 64 HOU ECH, OMORO ETR ESPESA] Case 118 CWM_INITDIALOG) of switch Bä4āl 
Ba4a0180728 6A 44 PUSH dp Style = MB DE!MBE ICOMRSTERISE!ME BFFLHMOD 
aa4a1a8078h 68 56514000 PLUSH RENE Title = "Hagtt" 

Bg4g1iarF 68 OCI 4000 PUSH Mag 





Text = "Uh, do u Like this program? p 
b 


Vemos que nuestro nag no está siendo llamado. La razón de ello es que nuestro 
Breakpoint parece estar en la mitad del controlador de mensajes de Windows. Lo que significa 
que el primer mensaje que ha pasado por el controlador de mensajes no coincide con el mensaje 
que esperaba sobreescribir la aplicación para que salte el nag. 
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Pulsamos F9 para ejecutar la aplicación y nos detendremos en el mismo Breakpoint, 
pero esta vez si se va a tomar el salto lo que hará que aparezca nuestro nag en pantalla. 


































OllyDbg - Nag?.exe - [CPU - main thread, module Nagz] = | = E 

[e] File View Debug Plugins Options Window Help Tools BreakPoint-:> SIE 
edd X| Kl + dno a 
2 DES GDBD | 
. 2D asaaimnaaa SUB EAH, 166 
werd 68 Lj 
. |48 DEC EA} 
vl 74 BE 
. | SSCH AUR EAS, EAR Default case of switch 66401004 

EEEIEI . | C2 18808 18 

amamisBiCc | > | BFBF4424 DC Mowe EAX, WORD PTR SS:EESP*C] | Case 111 CWM_COMNMAND) of switch 40481444 

eñdaiez21 | . | 20D E9aSsamaaa SUB EAX, SES Switch (cases 3E9..3EA) 

40441426 ae r4 22 JE 

aadal | . | 48 DEC EA} 

Ba4018229 | | 75 PE HZ E A ee 

ARdB1B2B | . | 864424 04 MOL EBX, Case SEA of switch M44016821 

Ba4miszF | . | 6A 48 PUSH 44 Style = HB DK!HMB ICOMRSTERISE!HE RPFLHOD 

AG461821 | . | 68 BCE24060 PLUSH Title = "Info" 

Bamnd4mimzé | . | 68 2868514000 FUSH fees + KillNag ~n I did this one 

Ba4missp| . | 56 PUSH EBX hüuner = NULL 

Aedeiesc | . |FF15 CS504604 CALE DWORD PTR DS: (<8.USERS2.Me EressaaeBosH 

an4mnis4z | . | BS 61800006 EA, 1 

Ba4mis47 | . | C2 18868 

aagaladAa | > | 56 HNag2. 10401660; Case BES of switch 064414 

Ba4mis4BE | . | 8E7424 as 

Ba4mis4F | . | 6A 18 Style = MB. Ok ME_ ICOMHAND ! HE_AFFLMHODAL 

aadBiB51 | . | 68 728514000 Title = " 

Eia Lo? . 168 52514044 Test = "Dh, ee u target this one?" :F" 

Ba4nissp]| . | 56 PUSH ESI hOwner = BBdaiaaa 

eedaiesc | . |FF15 03504008 CALL DWORD PTR DS:rz&usERS2.Ha E HessaaeBosH 

Ba4misez | . | 6n Bi PUSH 1 Result = 1 

Ba4misBé64 | . | 56 PUSH ESI [tina = = pa4asiaan 

aadaiB6S | . |FF15 CCEB4aaa CALL DWORD PTR DS: C<2USER=2.En LEndDialaa 

Ba4mniseBp | . | SE POP ESI USERS2. 55018709 

amaaimec | . | BS 01006698 MOL EAW, 1 

aadaiBr1 | . | C2 10048 RETA 16 

Badaiard | > SSB4C24 84 HOU ECH, DWORD PTR SS:EESP*4H Case 116 CWM_INITDIALOG) of switch mB8481 

Bedaiers | . 6A 48 PUSH 46 pótyle = MB OK!MB. ICDOHRSTERISK!HMB DEEL HOD w | 

4 k 


Cambiamos el valor de la bandera Z para decirle a Olly que no queremos saltar. 





OllyDbg - Mag2.exe - [CPU - main thread, module Nag2] l E (el 
[e] File View Debug Plugins Options Window Help Tools BreakPoint-> = (el 


edd Si KI hät sl al] 


Ba4BiBBr | .- BFS4 senda ist (FFU) 
46441660 2D 00018006 SUB EAM, 160 EE 


I—— aaaaaaan 
: DEC EAs Baaaaaagz 


.v| r4 Bl JE SHORT Hage. 664616810 
| ace ROR ERR, ERX SERÉ: 


AN AGL SFCAC 
Aadeieic | > i424 E NOW? EA, WORD PTR SS:rESP-*CI1 
Be4B1BAl | . Sar SUE EAM, SEO 96461604 
00481825 . |48 DEC EAH Hag?. 00461012 
4444 ikiz z = JHE ; 
Ba4niB2B | . | B4424 E MOLI ERM DUDRO PTR SS: CESP+4] E Ot FFEEEEEF! 
B64a162F | . | 6A 46 PUSH 44 33bit BLEFFEEEFE) 
664401035 . | 68 56514606 PUSH e 52bit TFFDEBAaB(FFF) 
a04a163B | . | 56 PUSH EAM ES BBB HULL 
88401830 | . | FFIS CE504006 CALE DWORD PTR DS: C<2USERSZ. He 
TE TEE i RS ace ee mH 5 LastErr ERROR IMURLID HANDLE (Baar 
ABdaleda | > |56 ` Dppopzpe (HO, HE, HE, A, HS, PE, GE, BI 


aa EECH empty 3.1512115837788254668e-438 



























g2. 4440146 


| i : empty "Eër EE CEA 
sedate | | z cee 14000 empty -UNORM EGG GG12FFBG TFFDEGCC 
Ge E empty 3.371271766046581 9260-4932 
Ba4O105C |. FFis cesesaoa | BALL DWORD PTR DS:L«&USER32. Me "er MEC eL Se pee cee 
alas lea e empty —1. 1449515367 3584467 4Be-* 3BB6 


SSES PUSH ESI E 
BB4BIBES | . FFAS CCenapop [EARE DWORD PTR DS:LX&USERS2.E MI AIL p c aie IE 


a 


BOJB1B6B | . | SE POP ES ü 
Be4BIB56C | . | ES oo HOU EAH, 1 Deer pond heer ss Hn 220902921 


Badainri| . |C2 1666 RETH 
Ba4a1874 »BE4dD24 84 MOL ECH, OWORO PTR SS: CESP+4] 
aedeiers | . 6A 46 PUSH 44 


Cara Aad aar "ra a d Arara T3 ng 


Ble =" Cara a cara oe 
4 a 


Si pulsamos F9 para seguir desplazandonos por la aplicación, van pasar 34 mensajes por 
el controlador de mensajes. Podemos o bien dejar el Breakpoint y pulsar F9 treintaycuatro 
veces, o podemos eliminar el Breakpoint y pulsar F9 solo una vez. En este caso el call no 
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volverá a llamar a nuestro nag. Vamos a continuar siguiento la segunda opción y aparece la 
ventana principal (¡El nag de inicio ha desaparecido!). 


KillNag - KiTo | wl 


Klang - KiTo 





El siguiente paso es parchear la aplicación. Normalmente lo hariamos cambiando la 
instrucción JE que hace el salto al nag, por la instrucción NOP, para que nunca salte. Pero 
veremos a continuación otra forma de conseguir el mismo resultado. 


Sabemos que cuando el mensaje correcto pasa por el controlador de mensajes, (en este 
caso es el segundo mensaje) se va llamar el código de nuestro nag. ¿Qué pasaría si dejamos el 
salto al nag tal como está pero cambiando el nag para que vuelva a saltar hacia atras? 








































OllyDbg - Nag2.exe - [CPU - main | thre | - [5] > 
[e] Fie view Debug Plugins Options Window Help Tools BreakPoint-> LIE]? 
ir 44 X | Kill SE) HE) eub a a $ 
j 2 BF24 &Sénmmma m 
paşi | . 20 aaniaaaa SUB ERE, 166 
Ba481mi2 | werd 60 
Ba4a15i4 | . | 48 DEC EA! 
Ba4aimi5 | .~| 74 65 
Ba4ainiry | . | s3ce “OR ERE,ERX Default case of switch 66401064 
aadeiaia| . | C2 1600 RETA 16 
añdaiB10 | > |BFBr4d24 AC Howes EAX, WORD PTR SS:EESP*C] | Case 111 (bh COMMAND) of switch Gmdaiasa4 
am4aia8z1| . | 20 Esamsaaaa SUB EAH, 3E9 Switch [cases 3E9,.3EA1 
66401626 | | v4 22 
aaqaiBza | . |48 DEC EA} 
aa401623 | | 75 75 JHE EE e SU EET 
AB40iB2E | . | BB4424 B4 MOL EAM, ntdll.z7C9280738; Case SEA of switch 60401 
aa3alB2F | . | 6A 48 PUSH 46 Style = ME DE!MB ICOMNRSTERISK!ME RPFLHOD 
añdeiea1 | . | 68 60524660 FUSH Title = "Info" 
66401636 65 50514660 FUSH Tent =" KillMaa «n I did this one 
Bade 1656 Eë PUSH EA} hOwner = HULL 
66441830 FF15 cesedaaa CALL DWORD PTR DS: (<8USERS2.Me bL HessaaeBosn 
66401042 ES aimaaaa MOL EA], 1 
66441047 e 1664 18 
ag4a104B8 PUSH ESI .— ^ —— Case 3E9 of switch 604681821 
ag4aio4g -— 
6640104F Assembla at 00401074 xt ng okKIHE ICONHRND!HE BPPLHODRL 
66401651 "Hagt'"' 
664401655 "Oh, did u forget this one? :P" 
ag4aiasg = EFFFEFFE 
66441650 Box A 
66441062 = 1 
00401064 FFFFFFFF 
kee ip A : i ag 
BB4glaeE [v Fill with NOP's 2. 7C81604F 
66441660 
aa4a1671 
Dap) 072 BE4C24 B4 E ntdll.7C9280738; Case 118 (WHA_INITOIALOG1 
46401072 6A 40 PUSH Ap style = MB DK! MEL ICŪHASTERISE!ME_AFFLHOD + 


Cara Aa EE 


«| 





ZC Par Araravra T mii FER — de hF 


Li 


Vemos que el salto al nag corresponde con la dirección 401074. Cambiemos la 
instrucción en esa dirección para que vuelva saltar hacia atrás, justo después de la instrucción de 


salto JE, en 401014. 

Ba4B81B874 | ^^ EB SE JMP SHORT Mag2.88481814 
BBO481875 58 HOP 

ABABA? 36 HOF 

pa4alarE EA PUSH 48 


Cara a d 





SCH Pars A Mi uI 


fts le = HB. Ge H ICONASTERISE ME _APPLMOD v | 
k 
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Realmente no exieste diferencia entre este método y convertir la instrucción JE en 
401012 a una instrucción NOP. Lo relevante de este ejercicio es ver que siempre vamos a tener 
varias opciones para parchear nuestra aplicación. Además sustituir un CALL / JE por un NOP 
no siempre nos llevará al resultado esperado. 


Pulsamos F9 y vemos que hemos omitido el primer nag. 

































OllyDbg - Nag2.exe - [CPU - n 1 thr =15/> 
[e] File wiew Debug mm Options Window Help Tools BreakPoint-> _ |) > 
Running | Game] ad] Si KI wait kill all te =| 
66401647 a. BFS4 GD DX 
64440140 . Z0 BD LD SUB EAR, 188 
B64B1612 | vn r4 68 JE 
He4hibid da DEC EAR kernel3z2.rC8BH34FL 
Eiddaimgib5 v| r4 HE 
Doll S3CH Ets Er E Ha kernel32.rC8B834FC; Default case ot swite 
Gage ` GE ech HC QOMHAND) of itch Dal abe 
HAE 1E e SWLtc 
Beánimnzi| . | 20 Eagzooog et Kito X|l'ags. SEA) 

6440162 e| Cé 22 

IST E . | 48 4FC 

Biaada1mnz29 e| db FS 

IST E . | SB4424 Ad GM KİT itch 66401421 

Höd4öläzF . | EA 4H mag - BO HB ICOMHMBSTERISEK:HE BFPLHÜOD 
6401631 . (65 BALSA g 

44401636 . | 68 265144064 LLNag sn I did this one 
646401636 . | 56 4FE 

6644014350 = | FF15 C5564006 

piaada1m]3i2 . | BS #1686688 

HAD Dé . | C2 1868 

He4h1648 + | 56 itch 664401421 

He4h1 646 . | SBr4e4 6S 

a6440164F 6A 1H HE_ I COHHAHDO MNB_APPLHODAL 
640165 1 63 18514006 d 

64401656 63 52851440404 du forget this one? :P” 
644014656 55 

EBiaadmlmsr FF15 C5604008 

piada1misz GH Hi Result = 1 

HAD LD SÉ hind = NULL 

He4h16e65 FEIER CC EndDialog 

He4h1 666 GE ntdll. Sne 

64015. BS 410404 

66401671 . |Ce 1664 

64401074 SEBA 

Sage | 30 


4 





Guardamos la aplicación parcheada como nag2_parchel.exe. 








































BN 


OllyDbg - Nag2.exe - [CPU - main thread, module Nagz] E EI 
[e] File View Debug Plugins Options Window Help Tools BreakPoint- = - (el 




















































































Running edd Si Kl eet ee) ee) lS ei 
AB4G1826 | . SB4424 84 MOL EAH, Copy k Biezi E 
aadaia2F 6A dp PUSH 44 TERISK!HME. RPPLHOD 
Ba4a1821 62 acsz24a0nn Binary p 
66401435 62 26514006 l «n I did this one 
404016838 Ep DN Undo selection Alr--Bk5p 
Ba4a8183C FF1E C8504000 CALL DWORD PTR DS:C< 
Ba481842 ES 81888885 MOL EAH, 1 Assemble Space 
DAD) DA C2 1888 18 l 
Ba48184n Ce PUSH ESI Label 1821 
40481048 287424 BS HOU ESI,DMORD-PTR-SS — - t i 
Ae40104F 6A 16 PUSH 16 ommen j HD! MHB_AFFLMODAL 
66401051 62 72514000 PUSH IEEE Breakpoint " 
66401655 62 52514000 PUSH t this one? :P" 
66441455 56 PUSH ESI Pul rS " 
BAR FF15 C6504000 CALL Wonn PTR DS:I« 
46401062 k 
00401064 Ce PUSH ESI Run trace 
ZER pels ccSea4eeo TARU DUORD PTR DS: C< 8 | E 
aa4a1a86c BS aiaaaaan HOL EBX, 1 Aan rn nists leen 
66461071 C2 1888 RETH 16 Go to b 
GE SE dE SHORT Haaz, 00461 TE A 
Oo In LUUT 

aa4a1077 HOF AA 
Ba4a1878 A 48 PUSH 46 TERISK!HE RPPLHüOD 
aRad4B1arA 68 56514800 PLISH Search For + 
AB46107F 66514044 PUSH : his program? Wou 
amdaima4 51 PUSH ECS Find references to 
Ba4a018085 FF1S CS504006 CALL DWORD PTR Dëst " : 
B64B163B ES B1006080B MOL EAR, 1 Lu 

E had | en E 
RECHT He 6A BB PUSH B |, Analvsis k All modifications 
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BaBg456B| SE POP ESI E] 
AAG46C BS oIppoonngp HOW Eas, 1 

BBBO471| C2 1600 RETH 16 

BBaB4r4|^ EB OE JMP SHORT 6006641 m] 
Bna476| 36 HOF Eum " 

Dpp4e 95 HOP P 

BBBO4rTS| 6A 46 PLUSH 46 Copy " 

Dpp4 en 6g 50514000 PUSH 485158 

BBaB4rF| Gë 00514606 PUSH 485108 Binary " 

needed! 51 PUSH ECH 

BBB4S5|  FFi15 CS5646866 | CALL DWORD PTR DS: C4esece] Assemble 

GAJE) BS aima HOU ERN, 1 

God) Ce 1066 RETH 18 Search for 

BBOB493| 865424 m4 HOW EDX,DWORD PTR 33: [ESP+4] 

000437| 6A BB PUSH B 

Bag4oo| 52 PUSH ED 

a6643A| FEI CCS64866 | CALL DWORD PTR DS: [405600] Go En offset Chrl+G 

ARGOS) BS aima HOU EB, 1 O pr ii AAA EE 

apma4n5| C2 Lomp RETH 18 nom a 

ABedoe! CC INTS View image in Disassembler ~| 


Cargamos esta nueva versión del programa parcheada en Olly y vemos que aparece la ventana 
principal. 







[e] File a pp window =e Tools ` BreakPoint-> = | | 
Running e da Ni e] "t Sot | o 







Jenni, La. 

























Ba4aiar2 | $ 6A 66 FUSH GG P 
@G46i6FS | , 68 12524664 FUSH mer 

am4siaFH| . ES 21808888 CALL 

am4mimFF | . EF 94688888 MOL EDIT, Oé mi 
Ba4oiis4 | . SEC? MOL ERX,EDI 

añdBi165 | . ES nsaEemaaa CALL Ma32 par.BB4BIFEB —— — 

Sal ST = 

Gadeiiie| . 893E KillNag - KiTo x| 

He461112 . Eb Information = HULL 
Ba481112| . FF15 105 ionExA 

cic: BMP de meme 

5 L e 1 _ Ki e Strcmpl 
Gadaiiz? | . 8B46 8 KillNag - KiTa 

Ba481125 | . A3 [4724 . SCDE 

Bea4a112A | . SB56 as 

gma4aiisD| . 8915 cer STEET 

aa4ai1i1323| . SBré ac 

Ba4a1136 | . S51E6 FFF 

Ba4a113C | . 8935 BCF 

Ba401142 | . 83F9 a2 

Ba481145 | av 74 DC 

Ba481147 | . S1CE aes 

Ba48114D | . 2935 BC? 

ga401152| > C1E6 os 

00481156 . ZC Ba2saa 

a64a115 . R3 cared . TCSA34FE 

BB4B115D| ` sare OR ESI, ESI 

AA4dG1iSF | . 56 PUSH ESI oModule = HULL 

añdaiiéB | . SBSD 10504604 MOL EDI, DWORD PTR OS: C<&KERNE | kerne L52. getticdy LeHandlen 
Ba401156 | . FED? CALL EDI GetHModu Leland Let 

66441163 £6:3138 405A CHP WORD PTR DS: [EA*XJ],5040 

66441160 ~ PE iF 

a648116F 2848 3C MOL ECH, DWORD PTR OS: CEAX+30] 

4 p 


Hacemos clic en “Exit” y se abre una nueva ventana: 


Na — 5 


ES Oh, did u Forget this one? :P 





Volvemos abrir la ventana de las cadenas de texto y buscamos la que aparece en la ventana 
anterior. 
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OllyDbg - Nag2_parchel.exe - [Text strings referenced in Nag?_par:.text] l CAE 
[R] File View Debug Plugins Options Window Help Tools BreakPoint-> || x| 









Game 44 X| Kill SE] HE) du a 2H 

































Address 

46401031 
464414536 
464601651 


Disassembly Tent string 


PUSH Nas2_par. 86405258 
PUSH Nas2_par. 66445156 
PUSH Mas2_par. 60405173 









a 
ASCII "Info" 
ASCII " KillHaa sn I did this one for your newbies who Wants to practice more on r 
ASCII "Hagt" 








HE461656) PUSH Hage par, 86465158 ASCII "Dh, did u forget this one? :P" 

He46167S) ASCII "jehPoe',.& 

6684491687F| PUSH Hage_par. #646516 ASCII "Oh, dow Like this program? You are using the trial version... "visit blablabla.." 
HE4616FS GR [Initial CPU selection! 

HAD) 2CF Hage par.tBmim234 I "macoree.dLllI" 

HE46120E) PUSH Hage_par., be4o5e24 ASCII "CorEs itProcess”™ 

He4614F9) PUSH Hage par. DRdDEG 24 ASCII "Zproaram name unknown" 

Be461526) PUSH Nage_par. DÉdDG2p ASI 

664a155F| PUSH Hage par. 6445514 ASCII "Runtime Errar*'*-n*nPraaram: " 

HE461571) PUSH Hage_par,. 6405614 ASCII "*n*n" 


6684481550 
BE4626EC 
Be4e2187 
Be4e2118 
66442125 
46442136 
Be4e214C 
BA4ES05E 
BE4ES093 
46443044 
BE4ES0A3 
468443002 
BE4HSE15 
SEI E 
BE4ESE4F 
BA4ASE 7S 


PUSH Haa2 Goar, DAG 
PUSH Mas2_par. 86405608 
PUSH MNas2_par. DAG 4 
PUSH Mas2_par. B0405664 
PUSH Nas2_par. BE4E56A8 
PUSH Hag2_ Dar, DAD 
PUSH Hag? Gar, DAG 
MOL EOL, Hag2_par. 66465560 

MOL DWORD PTR SS:LEBP-12281,Haaz. 
MOL EOL, Nage_par. 1644738 

MOU DWORD PTR SS:LEBP-1281,haaz. 
PUSH Hag2_par. BA4e5654 

PUSH Hag? Gar, SE485638 

MOL EO1, Hag2_ par.tBmmdmseln 

PUSH Has2_ par. S84656EC 
PUSH Hag? poar, BEdABEES 


ASCII "Microsoft Visual C++ Runtime Library" 

ASCII "user32.dll" 

ASCII "HezzaaeBousH" 

ASCII "GetAct ivellindaw™ 

ASCII "GetLastActivePopup"" 

ASCII "Getllsecóbjiectinformat ionA" 

ASCII “"GetProcessllindowSt at ian" 

ASCII “Unknown security failure detectedt™ 

ASCII "A security error of unknown cause has been detected which has=ncorrupted the proc 
ASCII "Buffer overrun detectedt" 

ASCII "A buffer overrun has been detected which has corrupted the program'z*ninternal st 
ASCII "¿program name unknown =" 

BSED AIT 

ASCII "unan" 

ASCII “Program: " 

ASCII "Microsoft Visual C++ Runtime Library" 


Hacemos doble clic sobre la linea. 














































OllyDbg - Nag?_parchel.exe - [CPU - main thread, module Nag?_par] | ax 
[e] File View Debug Plugins Options Window Help Tools BreakPoint-> -|| x 
E E L] L| L| Wmm| WR 
Paused ` | ada] sl ul "wj EL all +: HH 
64461006 SBddz4 ua Hol EAS, A 
660401064 .  GabeS 14 SUB EAs, 16 Switch (eases 18..11H81 
664681667 we AFA) S&nm JE 
66481660 ZU mua SUB EAS, 106 
amqniai2 | w 74 6&8 JE 
64461414 > 48 DEC EAs Default case of switch BHBdadinmna4 
64461415 e r4 BS 
64461417 S3CH “OR EAS, EAH 
64461419 , Ce 14664 FETH 16 
6441010 > BFBré4424 uc HOLZ» EAS, WORD PTR SS: TESP+C1 
66441421 ¿O ESBmBSZBE SUB EAR, SES Switch (cases SE3..3EH! 
He46 1826 werd 22 
He46 1825 ja DEC EA 
66448146 SB4424 be POL EAS, ntdll.rC9z28738: Case SEA of switch &Bmadalmui 
664481aF BA dp PUSH 48 Style = NB_LOK I MHB_ICONASTERISE | HB_APPLHAODAL 
664414=1 65 AC5S-4006 FUSH EE Title = "Into" 
644681435 65 265144644 PUSH Test = KillHaa smo I did this one for your newbies who want: 
6441436 5 PUSH EAR hüwner = NULL 
64481435 FF15 CO CALL OWORO PTR Os: C<2USERS2. Me E ressaaeBosH 
6440142 ES glo MOL EAR, 1 
660401047 , | C2 18d 15 
64481044 > 356 PUSH ESI Case SES of switch Bädqdäliñzi 
66401046 . BBr424 ua MOL ESI,DWORD FTR SS: TESP+81 
He46164F BA 14 PUSH 16 Style = HE üKIHE ICüUHHBHLD : NE_APPLMOOAL 
6604481451 65 18514006 PLISH ERE Title = "Nagt™ 
6604014565 BS 528514006 FUSH Text = "Dh, did y forget this one? :F™ 
BB4BlB5E 56 PUSH ESI hOwner = FFFFFFFF 
66481450 FF15 Cap CALL DWORD PTR OS: C<2USERSZ. Me bMessageBoxA 
6484681462 BA gl PUSH 1 result = 1 
60401064 Ee PUSH ESI [niin = FFFFFFFF 
64461455 FF15 CC5mBABBB CALL OWORO PTR DS:rz&sERS32.E EndDialoa 
6446156 GE POF ESI kernel32.rC816D4F 
6440160 ES 414004444 MOL EAR, 1 
668441471 . Ce lag 18 
He46 lars = EB 3E Case 116 of switch 46401004 
Hd 28 HOP 
HDD e 28 HOF 
mnadalas BA 46 G 56 51 4 ASCII "jmnrPiis", 
BaaaiuF 6S 66514000 PUSH Has2 par. 60405100 Text = "Oh, dow like this program? You are using the trial versior 
66441034 51 PUSH EC hOwnes = BB1SFFEA 
664681435 FEIER Ca544464 CALL OWORO PTR Os: (48USERS2. Ne EriessaaeBosH 
HAL DOP BS 4140464444 MOL EAR, 1 
BH4niBon | . Ce 1888 RETA 16 
6441033 » SBS424 H4 HOU EDX,DWORD PTR SS: CESF+4] ntdill.rC92H?38; Case 16 of switch 6441044 
HAL DO . A HB PUSH & Result = H 
He461899 5z PUSH EDX [nina = FCILEBS4 
66481654 FF1S ccSa4gea [CALL DWORD PTR DS: (<&USERS2.EnLEndDialog a a La 
k 


E 
W 


Y nos situamos sobre la primera linea del método que nos lleva al origen de la llamada 
para este segundo nag. Vemos que la llamada se encuentra justo después de la llamada al primer 
nag. 


Nuestra primera idea podría llevarnos a poner una instrucción de salto para volver hacia 
atrás como se hizo con el primer nag. Pero si nos fijamos bien, podemos observar que cuando se 
llama al segundo nag inmediatamente después se llama a la API EndDialog. Asi que saltando 
hacia atrás no va a funcionar ya que el dialogo nunca se cerraría. 


Lo siguiente que podríamos pensar es cambiar la instrucción JE en 401026 para que 
salte a EndDialog, sin pasar por el segundo nag. 
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Cambiemos pues la instrucción JE en 401026 para que salte a la primera linea de 
EndDialog en 401062. 


Ba4älbz | ec Cd 22 
46441425 45 






Baag1im .v| r5 7S 
H4h1026 . (2364424 B4 ntdll.rCazH?738:; Case SEA of switch 4441421 
H46102F . | 6A dp Style = HE OükKiHE ICOMBSTERISK:HMBE HPFFLHOüDBRL 
acded eS 1 . (62 ACS52400a Title = "Info" 
668401436 . (65 26514064 Teat s a EillHaz sno I did this one for your newbies who wants 
ApdadasE . | 56 EAS hOwner = NULL 
Baghla . | FFIS C8BB4Bmaa CALL OWORO PIR OS: C<2USERSZ. Me MessageBox A 
Be4h1 642 . | B8 81 S600 HO EAR, 1 
Be4h1 647 . | C2 1668 14 
AadadadA > 565 Case SES of switch Be461821 
adq 646 . SBr424 D 
B41 64 . 6A 1H Style = HE. OK DP. TCONHAND i HES BPPLHODRL 
Edidi . 68 78514606 Title = "Mag 
6646014656 . ES 52351404646 Text = "Oh, Se y forget this one? P" 
A461 856 » Dë F WEE hOwner = = FEFFFFFF 
A461 650 CH Cosa TAEL POR PTR DS:rz&UsERS2.H E e 
HEES ed Di SC FFFFFFFF 
e 
-—À— at 00401026 X[Ra2. En Lenddialo 
STEE FC81604F 
JE SHORT 00401062 ¥ 





Case 118 of switch 641664 


WM Fill with NOP's Cancel | 


Text = "Oh, do u like this program? You are using the trial verzior 
hOwner = E BBISFFBa 


Te RÀ |; ---- - 


Pulsamos F9. 


LM 5 x 


Cont know how bo continue because memory at address 00100124 is not readable. Try 
to change EIP or pass exception to program, 





Esto no es lo que esperabamos. Parace que hicimos algo mal. Esto es lo que haremos: 
ejecutaremos la aplicación sin el parche para ver como se comporta, después ejecutaremos la 
aplicación con el parche y miramos en que se diferencian. 


Reiniciamos la aplicación, hacemos clic en Exit y nos detenemos en nuestro parche. 


http://masteracsi.ual.es/ 





OllyDbg - Nag?_parchel.exe - [CPU - main thread, module Nag?_par] = [a | 
A File View Debug Plugins Options ‘Window Help Tools BreakPoint-> BEI 









46441414 
464414815 
Q6441417 
GSEISMSAK 
66461010 
6644161 


60401825 
40401629 
40441626 
8461 82F 
60401631 
60401036 
60401636 
60401830 
604016842 
40441647 
4044164A 
40441646 
6040164F 
60401651 
60401656 
60401656 
604016858 
40441662 
40441664 
40441665 
60401666 
60401660 
60401871 
Dal 
DAC 
40441077 
4040188 
BE40187F 
60401034 
60401635 
60401836 
60401090 
46401693 
46401097 
40401099 
604016894 
60401566 
60401645 
604016AS 









ex 44| X 


^ de 
v r4 BB 


33rh 
Ce 1608 


BFBr4424 ac 
ZU Egan 
r4 22 


48 


PS a 
564424 Da 
GH 44 

68 BCS24608 
6S 50514660 


5h 
FF15 CS584man 
BS 61000660 


Ce 10466 


56 

SBr424 B8 

6A 18 

68 rab5l4man 

SS 63514668 

FF15 CS584man 

GH Bi 

56 

Ey CC584888 

BS B1000600 
1986 


EB %E 


6A 46 58 56 51 4 
= 665144684 


5 
FF1B CSB584man 
BS Bland 


Ce 188 


SBS424 B4 
6A BA 


52 
FF1S CCBB4ama 
ES 81880808 


Ce 188 









eje be] Le] d 
DEC EHE 
«DR EBE,ERE 
16 
MOUZX EA, WORD PTR S5:CESP+C] 


SUB EAX, SES 
JE SHORT Mage par. 66461647 
DEC EAS 


ai 












Default case of switch 6441664 





Switch [cases SE3..3EHl 





HOW EAR, Case SEA nf switch BHB4msBlB21 


PUSH 46 Style = NB_LOKINB_ICONASTERISE | MB_APPLNOOAL 

FUSH lest. =a EillHNag sn I did this one for your newbies who wants 
PUSH EAR hüwner = HULL 

CALL DWORD PTR DS: (48USERS2. Me LressaaeBoun 

Mow gen 1 

PUSH ESI Haaz par. DHAplgpp: Case SES of switch BBdBdiB21 


MOL er? ¿DWORD PTR SS: [ESP+81] 
PUSH Style = NB_OK i MNB_ICONHAND: MB_APPLMODAL 
PUSH Title = "Hagt" 

FUSH Text = "Oh, did y forget this one? :F" 
PUSH hOwner = BmBaagimaad 


ESI | 
PUSH OWORO PTR DS: C<40USER32. Ma *HessaasBouH 


USH 1 Result = 1 
ESI [nina = = Dap lp 

GH DWORD PTR DS: EERSISERSZ.E EndDialoa 

POP ESI USERS. ST ER 

Mol Eat 1 

Case 116 of switch Düd4olop4 

HOF 

HOF 

ASCII "jümhPüiis'", 

PUSH Maa? par. 60495109 Text = "Oh, do u like this program? You are using the trial versior 
PUSH ECs hOwnes = HULL 
(ALL OWORO FTIR OS: C<2USERSZ. Me EHessaaeBosH 

HOI ah 1 
RETH i 

MOL! Foe, DWORD PTR 58: [ESP+41 Case 168 of switch 66461004 
PUSH & Result = HH 

PUSH EDR [tino = DD 
(CALL DWORD PTR DS:rz&usER2Z.E EndŪ ialog 

HOU EAR, 1 Default case of switch 66401421 
IHT3 ae 


DAD) D cco IHT 

see zr DUE hd 
4 + 
Pulsamso FS hasta llegar a MessageBoxA. Aparece nuestro nag. 

AAA al 


Gh, did u Forget this one? :P 


Continuamos pulsando F8 hasta llegar a EndDialog. En la ventana de la pila podemos ver las 
cuatro siguientes instrucciones: 


> Un controlador a nuestra ventana. 
> El resultado de EndDialog. 
> Un indicador hacia la primera linea de nuestro código (401000) 


> Una dirección de retorno a USER32. 

























ENEE BESET EB blind = BB200124 1 E o” vola riera] 
agisrFH44 BRE di Result = 1 ==; 
BHI SFAdS Hp E Hage par. Bd 
Bel 2EHAL ero d RETURN to USERSZ, 
Hel SFASe Ez EET ch | 


ABISFAS4 | Go 
laaisrnss | oa. 


BH1SFASC gaT S 

Dpl2EHGn aan] man Nage_par. 60461 06 

BH 1 2EHGA DCEARECO 

BET SPAS DD 

anl SFA A613FABA HI 
adgisrFHra 6440186 Nage_par. 04481 668 
| SG1SFAY4 Bel SFAER 
| HEISFArS rodas RETURN to USERS2.TrUz4CHe6 from USERS2. 1rD186É 1 

aal3FHrc Dap Topp Haaz Dar, 04481000 - 
Bel SPAS BAAR 20 | 

4 


http://masteracsi.ual.es/ 


Reiniciamos nuestra aplicación. Nos detenemos en nuestro parche. Lo activamos y 
vemos que saltamos por encima de la llamada a nuestro Nag hasta llegar al CALL EndDialog: 





OllyDbg - Nag2_parchel.exe 


Window Help Tools BreakPoint-> 


sb EXE I 


File View Debug Plugins 
ex 44| X 


Options 
» | 1] 





Running - "E 








CPU - main thread, module Nag2_ par 
564424 HS 


DAD LD 
40440144 
DAD LD 








SSES 16 


.- BF84 8680888088 














HOW EBR, 
SUB EAs, 18 


JE 
SUB E, 160 


118) 


Switch (cases 1H.. 











66441660 2D opp) GG 
paşii | . F 

68401414 > ds DEC EAR kecnel32. rc oó634FC: Default case of suite 
Ba4mimi5 | .- T4 oS 

Ba4mnisiv | . 3306 "DOR EAX, EAX kernelS32.7C8834FC 

Ba401nio | . Ce 1000 18 

an4mnisic | > BPBP442e4 DC HOLZ} EAH, MORD PTR SS:rESP-Cl 

66401621 2D ESZA SUB EA}, SES Switch [cases 3E9..3ER1 


Banda1uz6 






Address 








EA Sh 


Old 








JE SHORT Nage_par. se4e1 662 





Hew Comment 


JE SHORT Hage_par. Be4H1862 





En la ventana de la pila podemos observar las tres siguientes instrucciones: 


> El controlador de ventanas 


> El resultado del código. 


> Y el regreso a USER32. 


¡FALTA EL INDICADOR HACIA LA PRIMERA LINEA DE 


NUESTRO CODIGO 













(401000)! 

Hei SFAd+4 Hagi Haa hind = 4646106 - AN EN 
BH1SFAdS BERRA 1 Result = 1 | 

641 =3FA4C CDI RETURN to USERS. 7 POLS ras 

jäl 3FASO adea aL | 

641S3FAS4 Hanah 1 2 

BH1SFASS BERBERS 

641 SFASC BRABSABDE 

Hal SFAH 66401 aaa Magz Dar, 604481600 

Bel SFAE4 DC PUP D 

HH1SFAES BERBER 

adgi3sFHec Bei FAEH 

ag13FHrüa 44441 A Nag2_par. 60401060 

HH1SFAr4 HH1SFAER 

BHISFArs CZ He RETURM to USERSZ. °rO24CR6 from USERZZ, ddDlGeEl 

BEISFArCl Hagi Hag Hagz_par. 60401066 

jäl 2FASH HHHEHHES = 
DL SFAS4 einmal 11 

4 d 


Si nos fijamos en el segundo nag vemos que antes de crear el cuadro de mensaje, ESI es 





Mr E 


Size| State 
Z. Active | JE SHORT Nag2_par,. 66461848 


- 


empujado a la pila, que es precisamente el puntero de nuestro código. Este PUSH también se 
podría haber hecho después de la llamada al cuadro de mensaje. 
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OllyDbg - Nag?_parchel.exe - [CPU - main thread, module Nag?_par] 





[c] File View Debug Plugins ` Options 


Pased Sais 





rl 


Window Help Tools BreakPoint-> 


sp Al - 


6 





































6441412 4 GR "a 
664414014 > de DEC EA Default case of switch 66441664 

66441415 e CO BE JE 

mnadala1l17 . . 3Sa3LH AUR EAS, EAS 

maqaidias C2 1660 18 

664441410 AFE74424 DC Howes EAS, MORO PTR 55: TESP+E1 

66441421 ¿0 ESmBH3EBBEB SUB EAR, 3E9 Switch (cases SE9..3EH] 

He461826 ~ r4 3H JE SHORT Nag2_par. 146441452 

HdolDZ2O » 46 DEC EA 

Bda we FE FE 

6644146 =. SB4424 Bd HOL EAA, Case SEA of switch &madmlmu2i 

66441a2F . ÈA dp PUSH dp Style = HB UK:HE ICOMASTERISE 1 MB_APPLHAODAL 

66441431 . 55 BCE24000 PLISH Title = "Info" 

64441435 . 68 26514064 PUSH lest =o Kil Lag sn I did this one for your newbies who want: 
664401436 .— DÉI FUSH EA hOwners = HULL 

6644014830 . FFiS. Co5ódana CALL DWORD FTR FLA EUSERSZ. Ne & HeszsaageBosH 

66401442 . Es Bina HO! ES, 1 

mnaqalad? . Ce 1665 1B 

6644144A 2; Eë PLUSH ESI Hage par. 66401666; Case SES of switch 66441421 

66441446 . SBr4e4 H8 MOL ESI, DWORD PTR SS: TESP+81 USERS2Z. del Geo 

6644144F GH iH PUSH 148 Style = HB UK!HB ICUPMHBHHLD i MB_APPLMOOAL 

664414561 GD 12514664 PLISH Tis Sy us 

66441455 66 55514664 FUSH Text = "Oh, did u forget this one? :F" 

BHe461556 56 PLUSH ESI hOwner = 664481066 

66441450 FF15 Co564004 CALL OWORD PTR DS: C<2USERS2. Me b HessaaeBosH 

66441462 GH Hl PLUSH 1 esule = 1 

66441064 56 PUSH ESI [tina = 6401066 

664414655 FF15 CC CALL DWORD PTR DS:rzg&ISERS2.En EEndDialoag 

BHE461566 5E POP ESI Haoz par, 446441066 

e461 HEC Es mln HOU EAR, 1 

664401471 Cz 1666 1 

mnadala4 = EB "E Case 118 of switch 664401064 

He461076 ag HOF 

pä4älärT aa HOP 

BR44lara 6A 46 68 56 51 4 ASCII "jümnPim' ,d 

668401 arF 68 86514408 PLISH Neo? par, 66405108 Text = "Oh, dou Like this program? You are using the trial werzior 
e461 584 5i PLUSH ECA hOwnes = HULL 

66441435 FF15 CS85B4mud CALL DWORD PTR DS5:rzg&UsSER3S2. Ha EHessaageBosH 

66441436 Es mln HOL ES, 1 

Sieft Ce 1066 RETH if 

mnadalas3 BSB5424 m4 HOU ED}, DWORD PTR SS:EESP-*41 Case 16 of switch maJdaidm4 

Be4618097 . ĠA BE PUSH & Result = Ø 

664414939 a Ea PLUSH EOx [tino o [5 1515 15]5 del 

6640143A . FEIER CC CALL DWORD PTR OS: [C<2USERSZ.En EEndDialoag 

He461508 > BS Bim HOU EAR, 1 Default case of switch 664481621 

Be461605 . Ce 1666 RETA 18 

e461 HAS CE IHT3 

eedalüns | CC INTS E 
4 k 


El problema es que tenemos un código de inizialicación que necesitamos, una llamada 
al nag que no queremos y una llamada a EndDialog que sí queremos. Borremos pues el código 
que no queremos. Seleccionamos el código desde 40104F a 40105C, hacemos clic con el botón 
derecho y seleccionamos “Binary” -> “Fill with NOPs”: 


OllyDbg - Nag?_parchel.exe - [CPU - main thread, module Nag? par] 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 
AE See ee vl: mH 


Ab4h1812 : p 
66401414 x EAH Default case of switch 6644144 









=18| 
=18| 


Ix [x 








^i 












Baaninmis 





46441617 
60401619 
60401610 
60401621 
60401826 
60401825 
404416829 
40441626 
a044162F 
60401631 
604016836 
60401636 
60401830 
46441642 
40441647 
Dal DA 
6040164E 
6040164F 
604601651 
60401656 
46441656 
404414850 
40441662 
00401064 
40401665 
60401666 
60401686. 
60401471 
40401074 
40401076 
addi 
Dal 
Be40187F 
60401834 
60401835 
40441 ase 
40441090 
00401093 
agaa1imgsr 
agaa1mg0233 
GERS 
4il Gha 
40441645 
Dal DU 
60401649 


di 
























20 
r4 


SB4424 B4 
GD 4H 







> BFBP4424 BC 


ESBzamadan 
aH 
















ADR EAH, EAS 
18 


HOUZH EAS, WORD PTR SS:LESP4C1 
SUB EAR, SES 
JE SHORT Haag par, 60401062 
DEC EAX 


MOL EAR, 


Switch (cases SES... SEH) 





Case SEA of switch HR461821 












: PUSH 44 Style = HB UK!1HB ICOMBSTERISkK:MB BPPLHMOLDEÉBL 
. 68 BCS24h60 PUSH AS Title = "Info" 
: zi 26514604 Bac oo ee EUN ZE sno I did this one for your newbies who Wants 
" jilluner = 
=. FEIER C85e4006 CALL OWORD PTR POO m 
. BS DD Mow EBE,1 Backup k 
. Ce 1464 RETH if 
H SEN Se Esa Copy F Case SE9 of switch Bëd4äibzi 
. 68 18 PUSH SE Binary Edit Ctrl+E 
5S8 155145064 FUSH ee i 
Eg 525146006 PUSH Has Assemble Space Fill with 00's 
Ia Eros BIB FTR | Label Fill with BPs 
56 PUSH ESI Comment i xS 
FF15 CCEB48BB DWORD FTR | Breakpoint " MEE 
SE POF ESI Binary paste 
ES aiananan HOU EAR, 1 SEET " 
ps sd Bs i HAD iee 
k 
Se Xue Run trace 
34 HOF 
6A 48 68 EB 51 4 ASCII "J@hPae’.| New origin here Ctrl+Gray * 
68 66514060 FUSH Nao? par. D ike this program? You are using the trial versior 


51 
FF15 CS8584nman 


BS 


pina 


Ce 1a 


5z 
FF15 CCB5a4man 


> Pe 
PES 
CC 
T 


aB5424 B4 
GH Ba 


01000600 
Loop 


Go Eo + 
Follow in Dump 


PUSH ECX 
CALL DWORD PTR | 
MOL! EAH, 1 


RETA 16 
MOL EDX,BDWORD P 
PUSH à Search For 


PUSH ED 
CALL OWORD PTR | 
HOU EAM, 1 

RETA 1a 


INTS 
sulle 


wm 


64401064 


Find references to 
Wet itch 66441621 
Copy bo executable 


Analysis 


eS =. F¥ F 





ne 
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OllyDbg - Nag?_parchel.exe - [CPU - main thread, module Nag?_par] 





[c] File View Debug Plugins Options 









Be4aidis 
Be4giugi4 
Be4giuis 
Be4gidir 
Be4giuis 
Be4e1 G10 
Bede G2 1 
Bede G26 
Begins 
Begins 
Be4giu2B 
BadaiazF 
Ba4a1a31 
Bada1az6 
Ba4a1a3E 
Be4e1 GSC 
Be4giug42 
Be4gig4. 
Be4gig4n 
Be4giu4B 
Be4g1g4F 
Be4gig5B 
Be4aiBsi 
Ba4a1B52 
SE 
Du01 064 
Be4G1055 
Be4G1056 
Be4e1G57 
Be4e 159 
Be4e1059 
BE4EB5R 
Bel4glB5B 
Be4giB5C 
Bede BED 
Be4gBEE 
Bede iB5F 
Ba4aiaen 
Ba4a1061 
Bede 162 
KEES 
KEES 
aaqa AEE 
B6461 G60 
Be4e1G7 1 
Du01 024 
Belgae 
Be4giuer 


Ge 











Window Help Tools BreakPoint-> 


duu Al = 


DEC Es 
ADR EAs, EAS 
16 


MOUZA EA}, MORD PETRA SSP IESE] 
SUB EA}, SES 


Sa dd Si Kill "e 
















































Default case of switch Dal 4 











BFEr4424 BL 
ZU ESaaaaand 
r4 3H 

48 
mee 
564424 Ga 
GH 40 

68 Bcb524dan 





Switch (cases SE93..3EH] 





JE SHORT Hass par, 64401662 
DEC EA 







Je 
HOU EAR, 
PUSH 46 


Case SEA of switch Be4e61821 
Style = NB_LOKINB_ICONASTERI SE i MB_APPLHAODAL 


. 68 88514608 PLUSH Ete S KillHaa sno I did this one for your newbies who wants 
. EH FUSH EAS hOwnes = HULL 
. FFiS C5646006 CALL OWORO PTR DS: (2&USERS2. Me EriessaageBozsH 
. BS DD MOL EAR, 1 
. Ce 1664 if 
> Eb FISH ESI Hag2_par. 86461688: Case SES) of switch 644014621 
. BBrd2d D HOU ESI, DWORD PTR SS:rESP-81 USERS. delen 
S6 HOF réty le 
ann HOF 
an" HOP | Title 
Op HOF 
Op HOP 
98 HOF 
98 HOF 
26 HOP | Text 
J4 HOF 
an] HOF 
3B HUP 
Op HOP 
"ils HOP hOwn ex 
28 HOF HessageBonA 
28 HOF 
an] HOF 
a^] HOF 
an" HOP 
3B HOF 
6A Bi PUSH 1 Result = 1 
Ge PUSH ESI [nina = 6646166 
FF15 CCS&4668 CALL OWORD PTR OS: [<2USERSZ. En LEndDialos 
5E POP ESI Hage_par. 060401066 
BS 81008868 HOW EAR, 1 
. Ce LD if 
= EB GE Case 116 of switch 464401044 
Op HOF 
Op HOP 


dén c0 = a al eng g DR réi Fann 


ne 


Guardamos el parche como nag2_parche2.exe. Cerramos Olly y ejecutamos el nuevo 


parche. Vemos que después de hacer clic en “Exit” ya no sale ninguna ventana molesta. 
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7.12 Caso practico 12: Usando el call stack 


En el siguiente ejercicio utilizaremos los conocimientos adquiridos en el capitulo 
anterior para eliminir el nag de un programa real. El nag aparece al cabo de 40 dias por lo que 
tenemos dos opciones para seguir el ejercicio: a) Esperar 40 dias y 40 noches o b) Añadir a la 
fecha del ordenador 41 dias. 


Supongamos que hemos optado por una u otra opción, el siguiente paso es ejecutar el 
programa haciendo doble clic sobre ejecutable. Al cabo de unos segundos aparece el nag. 


Please purchase WinRAR license x| 
un 
Please nate that WinRAR is nat free 


software. After a 40 day trial period you How to buy 


must either buy a license or remove it Herbs | 
from your computer. Close | 


Help 








Fijémonos también en el título de la parte superior de la ventana donde pone bien claro 
que se trata de una “copia de evaluación". 








$— Descargas - WinRAR (evaluation copy) E— n (DI sl 


File Commands Tools Favorites Options Help 








= e Ey SUS 
A + 
Add Extract To. Test Miei Delete Find Wizard | Info Repair 








| E3 | | [co Ci Documents and Settings! ManuellMy Documents Descargas -] 


Existen dos caminos para llegar al área del código que nos interesa. Antes de nada, 
cargamos la aplicación en Olly y esperamos a que aparezca el nag. Podríamos empezar por 
buscar cadenas de texto o “intermodular calls", pero esta opción no es válida para la mayoría de 
programas disponibles en la red. Así que aprenderemos a usar una técnica nueva: El Call Stack. 


En ciencias de la computación, una pila de llamadas (en inglés call stack) es una 
estructura dinámica de datos LIFO, (una pila) que almacena la información sobre las 
subrutinas activas de un programa de computadora. Esta clase de pila también es conocida 
como una pila de ejecución, pila de control, pila de función, o pila de tiempo de ejecución, y a 
menudo se describe en forma corta como "la pila". 


Una pila de llamadas es de uso frecuente para varios propósitos relacionados, pero la 
principal razón de su uso, es seguir el curso del punto al cual cada subrutina activa debe 
retornar el control cuando termine de ejecutar. (Las subrutinas activas son las que se han 
llamado pero todavía no han completado su ejecución ni retornando al lugar siguiente desde 
donde han sido llamadas). Si, por ejemplo, una subrutina DibujaCuadrado llama a una 
subrutina DibujaLinea desde cuatro lugares diferentes, el código de DibujaLinea debe tener 
una manera de saber a dónde retornar. Esto es tipicamente hecho por un código que, para cada 
llamada dentro de DibujaCuadrado, pone la dirección de la instrucción después de la sentencia 
de llamada particular (la "dirección de retorno") en la pila de llamadas. 
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top of stack 


Stack Pointer ———> 


stack frame 
for 
DrawLine 


Frame Pointer ————» subroutine 


stack frame 
for 
DrawSquare 
subroutine 





Fuente: https://es.wikipedia.org/wiki/Pila de llamadas 


En la figura se ve una pila, creciendo de abajo hacia arriba. La subrutina DrawSquare es 
llamada y se crea un stack frame para ella (en azul). Luego, DrawSquare llama a la subrutina 
DrawLine, la cual tiene su propio stack frame (en verde). 


El stack frame de cada subrutina tiene, en este caso, tres partes: * una dirección de retorno que 
indica la siguiente dirección a ejecutar después de que termine la subrutina, * los parámetros 
con que fue llamada la subrutina (que se cargan antes de llamarla), * y un espacio reservado 
para las variables y las constantes locales de la subrutina. 


Para visualizar el call stack en Olly basta con pulsar sobre el botón “K”. 
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OllyDbg - Rar.exe - [CPU - main thread, module Rar] 
[e] File View Debug Plugins Options Window Help Tools BreakPoint- = 
A KI betko Be de) all oa 


Hadnmimoa | . Al op aGpp MOL EA, OWORO PTR OS: [460644] 
46441445 S3ES ou SUB EB, 

BE46188S | . 56 PUSH ESI 

BE461889 | .~ BFS4 24010000 

AAAA ARE a9F2 mi CHR Foy 1 






















ali. 






EAs DDR 
Els BE1SFFEa 






Nota: La opción “call stack" no funciona en la versión 1.0 de Olly para Windows 7de 64-bit. 
Para solucionar el problema veremos los ejemplos con la version 2.0 de Olly. 


About OllyDbg | X] 





| OllyD bg v2.01 


32-bit Assembler-Level Debugger 


Copyright = 2000-2013 Oleh vuschuk 
All Rights Reserved 





The product names mentioned in this 
software may be trademarks or registered 
trademarks of their respective owners. 


For the newest informatian, visit 


https. alludbg.de | 





Cargamos la aplicación en Olly y pulsamos F9. Esperamos a que aparezca el nag. Una 
vez que aparezca (y antes de cerrarlo) hacemos clic en Olly para activar la ventana y poder 
detener la aplicación: 
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OllyDbg - Wink AB.exe - [CPU -main thread, modile WinRAR] o = E zl e x 

d e Tile Ula ishpa Tec D ir, ` Ginkinee: A PS E imi wl 
M3 Descargas - WinRAR (evaluation copy) d EE C p [aj xj 
File. Commands Tools Favorites Options Help 









T File Folder | | 
odbg201 zip 6.965.275 WinRAR ZIP archive D6/11/2015 2:24 


Please note that WinRAR is nat free 
software. After a 40 day trial period you 
must either buy a license or remove it 
from your computer = 








SEJ Total 6.965.278 bytes in 1 file A 


OllyDbg - WinRAR.exe - [CPU - main thread, module WinRAR] 2| x] 
[e] File View Debug Trace Plugins Options Windows Help = (el xj 





BESESF 95) ] + MOL EC, OWORO PTR DS: EC al 
BE4SE4F 9A] + MOL OWORO PTR SS: CEBP-24], ECH 
BESE4SF 30) | + i PUSH EAS 

BddEdJFSE||[* 5 PUSH ECH 

BESE4SF9F]] + ; CALL Be4ESSsE 

üä4E4FA4 | 59 POP ECK 

BE4E4FA5)] + POP ECH 

agdEdFHOo| b: C3 RETH 

BESESFAr| A" MOL ESP, OWORO PTR SS: CEBP-15] 
BE4SE4FAA)}: 5645 DC MOL EAR, OWORO PTR SS: CEBP-24] 
BEFE4FAD)} : 5945 EB MOL DWORD PTR SS: CEBP-26], EAs 
BEFESFBR)] =:  S3rD Ed ma CHF DWORD PTR SS:CEBP-1C1,8 
BEFSESFE4| | - rE Dë JHE SHORT SE4E4F BC 

BEFSE4FEE|] + 58 PUSH EAs 

BE4E4FE7 |]: ES 362568666 | CALL BE4ErrFe 

BESE4F PL ES 56228468648 | CALL BB4Ero1r 

HadEdJFC1||]* C45 FC FEFFI MOL DWORD PTR S5:CEBP-4],-2 
BE4SESFCS 5645 Eb MOL EA, OWORO PTR SS: TEBP-26] 
BaBddEAFCE |t: JHF SHORT SE4E4FER 


DEA DIr: ADR EAS, EHa 

BEFSESFLF]] + IHC EAR 

Daa, RETH 

aaaE4FD1|r-. MOL ESP, OWORO PTR SS: LEBP-125] 
BE4E4F04]] + HOU DWORD PTR SS:LEBP-41,-2 
BgdEAFDE||* BS FE | MOL EAS, BFF 

BE4SESFER ES 65166888 ES BadEe6s4D 


BEFESFES 
ES Ds9maama CALL S64EESCS 
ES *SFEFFFF | MP DAAG 
SBFF MOL EDI,EDI 
PUSH EBP 
MOL EBP,ESP 
SUB ESP, 325 
MOLI EA, OWORO PTR OS: CS6Fere] 
MOR EAS, EBF 
HOJ DWORD PTR SS: CEBP-4], EH 
TEST BYTE PTR DS:L5BFESLI,G01 
PUSH ESI 
. de SHORT BüadE5Bl? 
aaa4Esasr |] + PUSH BA 


| Module EXAMINADOS \systemsevntshrur dll - loading .udd data f 


Pulsamos el botón del call stack (‘K’) y aparece la siguiente ventana. 
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Call stack of main thread ] - [B] x] 











Stack Data Procedure Called from Frame al 
Bgalzcib5c|v7D493F5|ntdll.KiFastSyustemCall USERSZ2. Warheesaoetpt 6681201390 
68120154 | rrD6éEAżž4| USERS2. Waithessage USER=S2.rFrD6EA1F 

641202194 | 71056S55A | USERS2. 77 O6ES95 LUSER3Z.TrDI56885 

6081201BC| 7r0565€C | USER=S2. 77056704 USERS32.DialogBos IndirectPar) BaA12C1B63S 
64012210C| 710588920 | USERS2.DialogBos IndirectParamBorli USERS32.DialogBosParamH+4r 64122108 
60120268 | B643F510/ USERS. DialogBo+«Paramh WinRAR. Dao 661202264 
HBIZESEC! 710487089] WinRAR. GA 2EOen USERS2,. 7048766 HBIZESES 
6012E6158| rD487EB|lLlsER3SZ.77D4d586E1 LUSER3SZ.TrD4SrES& BalzEG614 
4012E6540| 71048985 | USERS2. 710487534 USERS2. 171048596 Dol 2EG et 
441 -2E6E4| "7D4BCCC| LI sERS2.77D4858c3 USERS2.DispatchMessageA+AA | 4412E6DC 
401 2E6F4| B6442F23 | USERS. DispatchMes=ageñH WinRAR. bA44e-F1E Dol EGET 
4412E7r24| DD442P24) WinRAR. 44442044 WinRAR. h4426B2F 

HBIZFFSC!| be49F 246) WinRAR. s6441Erc WinRAR. SH49F 245 

HB12ZFFC4| PCS1604F)| 777 kerne Loz. PCR1604C gaaizFFB8 


[^ 


En este ejemplo podemos ver una función ntdll, algunas funciones USER32, una 
llamada a DialogBoxParamA, más llamadas a USER32 y al final un call de nuestra aplicación 
WinRAR. Veamos como interpretar todo esto: WinRAR, desde la dirección 442C44, llama a 
DispatchMessageA, en este caso con un mensaje para mostrar un cuadro de dialogo. A 
continuación USER32 llama a la función DialogBoxParamA para mostrar el cuadro de dialogo 
con el texto "evaluation copy" en forma de título. USER32 muestra este cuadro de dialogo y 
espera algün input utilizando para ello WaitMessage. 


Lo importante para nosotros es el call al cuadro de dialogo y el call de la aplicación: 


Call stack of main thread | - [B] x] 















Stack Data Procedure Called from Frame al 
Baaglzcib5c|v7D493F5|ntdll.KiFastSyustemCall USERSZ. Waithessage+hA 660120130 
608120154 | 706EA24| USERS2. Waithessage USER=S2. 4 rD6EA1F 

641202194 | 7105655A | USERS2. 77 O6ES95 USERS2. geet, 

HB12C1BC| 7r0565€C| USERS2. 77056704 USERS32.DialogBos IndirectPar) BaAai2C1BS 
668120810C| 710583920| USERS. Dia logBos Indirect Hoch USERSZ.O0talogBoxuParamAt+4? 661208105 
44120288 | B64S35F510/| USERS2.Dialog9Bo+«ParamA WinRAR. HA43F818 441202244 
HB1IZESEC! 710487089 | WinRAR. GA 2EOen USERS2,. 1048766 ööl ESES 
4412£618| 7D487EB|lsER32.77D4586E1 USERS2. 7 7D487E6 641-2614 
6481 2E654| 710428985 | USERS. 71048734 USERS2. 171048596 Dol 2EG et 
441 -E6E4| PYO4BCCC| USERS. 7rO048sca USERS2.DispatchMessageA+AA | da8]12E&SDC 
601264 | B6442F23| USERS. DispatchMes=ageñH WinRAR. bH44eF1E ööl EGET 
4012E7r24| ġðd44zE634| WinRAR. 44442044 = WinRAR. 664426B2F 

HB12ZFFSC| 6649F 246) WinRAR. s6441EPc WinRAR. be49F 24s 

BaalizFFC4| 7CS1604F| 777 kernel32.7C08186D4C gaaizFFB8 


Hacemos doble clic sobre el call a DialogBoxParamA: 
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OllyDbg - WinRAR.exe - [CPU - main thread, module WinRAR] 
[c] File View Debug Trace Plugins Options Windows Help 





RSR RSR BEEN AU) L|E|M|w|T| c|R|-JK| B|M|H| 


Ba43F 700 
Ba43FrE2Z 
Ba43FrEr? 
Ba43FrES 
Ba43FrEB 
BE4SF CEO 
BE4SFrFS 
Ba43FrF5S 
BE4SF PEP 


Ba4ar aan 


ESPESA 


ES megan 
ES SIF9FLCFF 
DECH 


r4 32 
Al ZA D 
BFS 25 


ro 24 

Cees S5524nHB8 
GH ma 

GC 3B2Ed2n8 
FF35 4C4D4ChB 
68 14634061 
FF35 4526468 
ES 17108688 
S830 3468408 
r4 1C 

S830 F4r64CA 


fo 13 
Cees 9468408 
GH Be 


56 
Es DSiDmeag8 
S230 Fare4ch 


r5 20 
S330 ESre4CchB 
r5 24 
Le Lus MR TR EM d IST RB AET h= i aarr4Co 


HOL E 

CALL BREF IES 

TEST EAS, EAS 

Je SHORT 8845F310 

HO EAs, DWORD PIR OS: C4C8e2C] 
CHP ERA, 29 

JG SHORT BB43F7F9 

TEST EAS, EA» 

JGE SHORT BB43F81D 

MOL! BYTE PTR OS: [4A659595], 1 
PUSH B 


FUSH BH452ESH 

FUSH DWORD PIR DS: C4C404C) 

FUSH OFFSET bö4Aéar4 

FUSH DWORD PTR DS: [462445] 

CALL =JHP.&USERS2.0ialogBoxrP arama > 
CHF BYTE PTR DS: (486894), 8 

JE SHORT DAF S842 

CHF BYTE PTA DS: [4Cr6F4], 6 

JNE SHORT Bad 3FeS4z 

HOW BYTE PTR DS: (486894), dB 

FUSH & 

PUSH B 

FUSH if 

FUSH ESI 

CALL <“JHP.&USERS2. Post hessageA > 
CHF OWORD PTR OS: C4Cr6F6], 6 

JHE SHORT 8645F 875 

CHF OWORD PTR OS: C4CPréES1, 6 

JNE SHORT #643F 875 

CHF OWORD PTRA OS: [4Crr6851,-1 


CWinRAR. S646F 168 


InitFaram = Ø 

DialoaFroc = WinRAR. 482638 

hFarent = BHHaBHIBS, class = WinRarllindow, text = 
TemplateName = "REMINDER" 

hinet = Dapp i" WinRAR’ 1 
USERS2. Da logboxP arama 


USERS2. PostHMes=ageh 





[Thread 2 | hread 2. (ID 000007FO] terminated. exit code D |  [Pased -— 


Lo primero que haremos es poner un Breakpoint al comienzo de esta rutina en 43F7F9. 


Más arriba podemos ver algunos saltos condicionales. Si subimos más vemos comentarios de 


tipo “Case XX (WM, XXXXXX) of switch 43F0AA". 


OllyDbg - WinRAR.exe - [CPU - main thread, module WinRAR] 





[c] Fie View Debug Trace Plugins Options Windows Help 


i 44 x| LET. sjaja t ju] n|e]w|w|T] C] R--|K] BJMJH| 


BH4SF PSF 


ES 06478280 
5160 DSFEFFF 
BFSC 7014406 
2160 DSFEFFF 
BFSF 6014808 
BA 6be34he88 
aac 


SBCÉ 
ES AS4razan 
ES nd 


ES 4RCDa818 
E2 30190060 
5350 Fere4+Ce 
rs TO 


2095 A4FAFFF 
BS AS5A4COB 


3319 
ES ZE CU) ou 
susp 956546 


Yo 62 
SES0 acab4c8 
fo 53 
SHS0 2426468 
Yo 5B 


S085 A4FAFFF 
ES BSC4FCFF 


MOU EAs, ESI 
CALL BGB4563F1C 
CHP OWORD PTR 35: CLOCAL. 741,664 
JL Be44660S 
CHP OWORD PTR SS: CLOCAL. 741,868 
JG BE44eB03 
MOL ED., OFFSET 8846368 
AUR ELA. ECA 
HOU EAS, ESI 
CALL Be463F 10 
JHF 86446603 
HOW EA“. DWORD FTIR 35: CARG, 3] 
CHP ER, OWORO PTR OS: C4C4068) 
JHE 86448603 
MOL! EAs., OFFSET 88404068 
CALL ma4b5c4nc 
ag44aBL3 
DWORD PTR DS:L4C?6FB81, 8 
SHORT &645F310 
ED, CLOCAL. 3431 
EA, OFFSET 884CSAAS 
OR ECS, ECs 
CALL Be4571E8 
HP BYTE PTR OS: (406895), 4 
SHORT &845SF310 
BYTE PTR OS: C4C855C1,6 
SHORT BB4SFS1D 
BYTE PTR DS:L4B28241,8 
SHORT &645F310 
EA EAs, CLOCAL. 343] 
CALL DAD GD 


Thread 2. (ID QOO FU] terminated. exit code 0 


=|! x| 


ASCII "HELPHelpHenu"" 


Case TE (Wm COMTERTHEHLUJ of switch WinRAR. 4SFeA4 


Case 113 tW TIMER] of switch WinRAR. 4SFeR4 


CWinRAR. 66457 1E8 





| [Paused 


Si seguimos subiendo veremos que se trata de un switch realmente largo, donde 


WM_XXXXX representan mensajes de Windows. En ejercicios futuros estudiaremos más en 
detalle los procedimientos de los mensajes de Windows. Por ahora solo nos interesa el código 
que realiza la llamada al cuadro de dialogo, incluido el mensaje de Windows WM, TIMER. A 
continuación podemos ver el código completo: 
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ARISE PoP 
DA PSE 
DAF dog 


S330 Freda 


rs TO 
5095 A4FAFFF 
BS AS5A4CAA 


2209 
ES ZECHUplou 
2030 9565408 


ES S1F9FCFF 
25C 

r4 32 

Hi Za D 
ars 28 


BB4SFTFT 


Be43F S68 
DAF 562 
BHe4SF Sa" 
HR4SF S60 
He4SFS12 
4443F518 


ro 24 
CóMS 95654A6 
GH aa 
63 3024500 
FF35 4+C404C8 
68 14694A00 


FF35 4526468 
ES 1F1CA60a 


CHP DWORD PTR DS: [4Cré6F41, a 

JHE SHORT 8845F310 

LEA EDs, CLOCAL. 343] 

MOL EA, OFFSET 4 SAAS 

AOR EL ae ECA 

CALL Be4571E8 

HP BYTE PTR Dër [4A689551], 0 
SHORT 884SF510 
BYTE PTR OS: C4C858C 1,6 
SHORT Baa43F81D 
BYTE PTR DS:L4B28241,H 
SHORT 8845F310 

LEA EA, CLOCAL. 3437 

CALL Da np 

HOU ED, OFFSET #46960 

MOL ECS, E 

CALL BB4BFi58 

TEST EAs, EAS 

Jde SHORT Ba4s3FSiD 

HOU EAs, OWORO PTR OS: [4362C] 

CHP EA, 28 

JG SHORT Baü43F7F9 

TEST EAs, EAS 

JGE SHORT aGBe4arein 

HOW BYTE PTR OS: [4A6295], 1 

PUSH El 


PUSH BE4+52ES8 

PUSH DWORD PTRA DS: C4C404C] 
PUSH OFFSET DAD da 

PUSH DWORD PTR OS: [462445] 


CALL i.JHMP.&LISER22.DialoaBoesParamB- 


Case 113 CWh_TINER) of switch WinRAR. 43FeA4 


CWinRAR. GOALER 


ASCII "rarkeu" 
CWinRAR,. dt 168 


InitParam = Ø 

DialogProc = WinRAR. 482634 

hFarent = BREBRIBS, class = WinRarlindow, test = 
TemplateName = "REMIMODER" 

hinst = DD ("WinRAR 1 
USERS2.0ialogboxrParamel 





Después de la llamada al cuadro de dialogo, podemos observar varios saltos 
condicionales y comparaciones. Dependiendo del botón que elegimos, saltaremos a una sección 
de código u otra. Si por ejemplo decidimos cerrar el cuadro de dialogo saltaremos al código 


encargado de cerrar el dialogo: 





OllyDbg - WinRAR.exe - [CPU - main thread, module WinRAR] 
[c] Fie View Debug Trace Plugins Options Windows Help 


an Ean li pu n|g|M|w| Tt] c] R|--| K] B]M/H] 


Je SHORT Ba43FS1D 
Hi 2Cee4Cee | MOL EAS, DWORD PTR DS:r4css2c] 
aFa2 26 CHP EAM, 28 

JG SHORT SE4SF PFS 

TEST EAS, EHS 

JOE SHORT &as43FS1D 

MOL BYTE PTR OS: C4A68957, 1 


B 

HgdszEsH 

OWORO PTR DS: C4C404C) 

OFFSET 8@406974 

OWORO PTR Ds: (462645) 
H JP, &USERS2. Oia logboxP 
CHF BYTE PTR OS: (406894],6 
JE SHORT HBHiad3Fa4z 
CHF BYTE PTR OS: C4Cré6F4],6 
Baa sra JHE SHORT Hid 3FeS4z 
Bad 3FSzF|] + HOW BYTE PTR OS: C4A6894],48 
BHadsFS26||- 6A Du FUSH & lParam H 
BHads3rFa38|] = PUSH & War ar B 
gaasresnll - PUSH 1&8 Nea = Wn CLOSE 
HHdd3FS3SC||-* 56 FUSH ESI hin d 

. CALL <JHP.&USERS2. PosthessageA > LISERSZ.FPosthHeszageH 

CHF DWORD PTR OS: [4Cr6F0], B 
JHE SHORT aad3FS75 
CHF OWORO PTR OS: [4Cr76E8], 0 
JHE SHORT Had 3FSrs 
CHF DWORD PTR Ds: [4Erró68l1,-1 
JE SHORT 8643SF 875 
PUSH GA Timeout ]H. mz 
FUSH DWORD PTRA Os: rE4Cc7 7831 hObject HERRERA 


edi 2. ID 000007FO] terminated. exit code D | [Paused ` 


Volviendo al comienzo de nuestra sección, a la altura del switch podemos ver una 
primera combinación de salto y comparación: 


-18) x| 








DOA2E PEP 


Ae43F Shu 
Bad sFEeuz 
Bad3srFesr? 
He4SF S60 
Bbds3FS12 
A64sFS515 
HB4SFS10 
BHad3rFS24 
madsreze 


InitParam = 6 

DialogFroc = WinRAR.482E36 

hParent = DPI, class = WinRarllindou, text = 
TemplateName = "REMINDER" 

hinst = HBD i" WinRAR" 1 
USERS2.O01alogBoxFaramA 


GH ma 

63 3Bd2Ed2nBH8 
FF35 4C404C8 
68 4694008 
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OllyDbg - WinRAR.exe - [CPU - main thread, module WinRAR] 3 
[c] File View Debug Trace Plugins Options Windows Help z= E |x] 


w miu 55233 Ui MEMENENENM HEN 


BHida3Fr 9E HE SHORT öä43F810 
üä4 IF rā Spes m4FHFFFLLEH EDs, CLOCAL. 343] 
BE4SF PAG BS DOEDaAC ap UU EAX, OFFSET HE4C5AAS 
j S3C9 OR ECS, ECA 
ES 2Eetplap ALL Be45°1ER CWinRAR. pd IER 
S630 SS684AR0CHF BYTE PTR DS: [4A689395], 8 
T5 62 HE SHORT #643F310 
5630 SCS54CHPENP BYTE PTA OS: (C4C858C1,6 
rs 59 HE SHORT öö43F810 
S630 24264BR0CMF BYTE PTR DS: [4626024], 0 
dE Sh HE SHORT Haüd3FalL 
8085 H4FHFFFLLEH EA, CLOCAL. 343] 
ES S&C4FCFF ALL Äð4HBCEH 
BA 60694068 OW Elx, OFFSET madpese ASCII “rarkey"™ 
DO Depp OW ECH,6 
ES S1F9FCFF ALL Ba4aF1628 CWinRAR. 6646F 166 
OCH EST EAs, EAS 
r4 32 SHORT Hid 3F&81L 
Hi 29 ap OW EAS, DWORD PTR OS: [4C386=07 
SSF 26 HP EAH, 28 
G SHORT DDA2E PFS 
EST EAs, EA 
GE SHORT He4SF S10 
OW] BYTE PTR OS: (406895), 1 
H B InitParam = 6 


Baag4dszE3B DialosProc = WinRAR. 482E386 
OWORO PIR OS: C4C404C] hFarent = BEBBRIBS, class = WinRarllindow, text 
OFFSET DAD ed TemplateName = "RENINDER™ 
OWORO PTR DS: (462645) hin=t = madame [WinRAR] 
LL <JHMP.&USERS2.0ialogBoxuParamnA> USERS2.0ialogBoxParamA 
[abs FS10)| | +5030 946284H8bCHP BYTE PTR DS: [4A65947,46 


MESE 2. [ID 000007FO] terminated. exit code D | [Paused ` 








Vemos que la instrucción en la dirección 43F79E salta por encima del call que abre 
nuestro nag. Situemonos en el inicio de la combinación saltar/comparar. Seleccionamos la línea 
con el “Case 113 (WM, TIMER)", hacemos clic con el botón derecho y seleccionamos “Go to” 
-> “Switch case..." 








OllyDbg - WinRAR.exe - [CPU - main thread, module WinRAR] = E | x] 
[c] F Backup k E Help -|| x| 
aw Eat "E[M|w| T] C] R[.--|K| B]M|H| 
8043 Assemble... Space 1,4 Case 118 (MM TIMER! of switch WinRAR. 43Fan4 = 
8643 
lt e i ' 
ee Add SE S Semicolon (;) 

0043 Breakpoint d 

GG | CWinRBHRE.Bmm4b5?l1EB 

aed: New origin here Ctrl+Gray * 

ab43 . 1,4 

aes Follow in Dump k 

a43 = p 

643 , 

SC Select module k Expression... Ctrl+6 

HE ] ] Jump ar call to selection... 

pada Open in a separate dump window | 
See 

DA | 

Se Search For k Previous location Gray - 

HESS Findreferences ta + 

E43 us : Previous procedure Ctrl+Gray - 

BESS Highlight register k 

DO/47 Next procedure Chri-Gray + 

nds Addressing k 

S843 Comments k Executable File md 

abd43 la = WinRarWindow, text = 





B43 a. 3 TemplateName - "REMINDER" - 
anda Analysis k hinst = BEB4mamaB ("WinRAR") 
Goto ` Help on command ShiFt+F1 | [Paused — 








Se abre una ventana con todos los casos que pueden ser manejados por este switch: 
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origin 
CWM_CREATE> 
CWA_DESTROY> 

€UM SIZE» 

Case HR SETFOCUS > 

Case 16 €WuM CLOSE? 

Case 15 (WM_SYECOLOECHANGE> 
Case 2B CWM_DRAWITEM> 

Case 20 ¢CWM_MEASUREITEM> 
Case 4E «UM. HOTIFV? 

Case 53 «UM HELP? 

Case 7B «WM CONMTERSTHEHU? 
Case 1H2 «WM CHRR? 

Case 111 «UM COMMHHD» 

Case 113 «UM TIMER? 

Case 117 «WM IHITHEHUPOPUP? 
Case 126 «WUM MEHUCHRE? 

Case 2467 CUM MBUTTOHDOUN?» 
Case 233 CWA_DROPFILES> 
Case 466 «UM "USER? 

Case 461 


CHP DWORD PTR OS: C4CP6Fe),6 
JHE SHORT 88453F310 
LEA EDs, CLOCAL. 3437 
BS ASSA4Cee | MOL EAS, OFFSET S84C5AA8 
3313 ADR ECs, ELA 
ES 2EvHHiBB | CALL 864571E8 
CHP BYTE PTR DS:L4He235],8 
JHE SHORT 8843F310 
CHP BYTE PTR OS: C4C858C1,6 
JHE SHORT 8845F310 
CHP BYTE PTR OS: [4620241,6 
JHE SHORT 8845F310 
LEA EAs, CLOCAL. 23431 
ES S8C4FCFF | CALL Dad ep 
BH 60694A66 | MON EDs, OFFSET 884he960 
ES DG | MOL ECA, 6 
ES S1F9FCFF |CALL BB4BF158 
GAR TEST EAs, EAS 
r4 32 Je SHORT Ba43FS1D 
Hi 2zcaB4CmsB | MOL EAs, OWORO PTR OS: C4Ce8e2C ] 
ars 28 CHP EA, 28 
JG SHORT B043F?F3 
. TEST EAs, EAS 
BE4SFFEF) Pee rO 24 JEE SHORT BB43FB1D 
































MOL BYTE PTR OS: (466895), 1 

Ba4srFena||- ep op PUSH & m pur 
ampdsrea2z||- 68 362E4860 | PUSH nmadsezE2n ase 
apa4sreanrvz||- FES 4C4D4CAàl PUSH OWORO PTR OS: E4C4D4C Case 466 
anm4arean||- 68 7465940966 | PUSH OFFSET 664A6374 Default case 


Başkale FSS 45284661 PUSH DWORD PIR DS: [4624423] 


‘Thread 2. [6 QU0007FO) terminated, exit code Ü 





Si hacemos clic en cualquiera de ellos veremos como el lenguaje ensamblador trata 
estos switch como si fuera una estructura de control if/then. 


Volviendo a nuestro caso en particular, WM, TIMER hace las funciones de un contador 
de tiempo. Esto implica que en algun sitio del código tuvo que haberse iniciado. Subiendo en el 
código hasta la dirección 43F363 encontramos lo que estábamos buscando: 





OllyDbg - WinRAR.exe - [CPU - main thread, module WinRAR] E | = | xj 
[e] File View Debug Trace Plugins Options Windows Help = | = | x] 


MX mm mH MUMNNENENNENN ee 


SB95 E4FEFFFI NOW EDS, OWORO PTR SS:ELUüCHL.711 

64:5915 Do HOL DWORD FTR FS:[6], EDX 

ES BIO | JHP Bö44hEF2 

BS 2C554C66 | AOU EAs, OFFSET madcbsac Case 465 of switch WinRAR. 43F0A4 
ES OCASHSH8 | CALL Be479926 CWinRAR,. Gd do2p 

2330 Eed CHF DWORD PTR OS: C4CP6ECI, 1 

DE Oé 26666684 JE BEI 3F3SDF 

BA TimerFune = HDD 


B 
Diez eee Timeout = 2664, ms 
HA TimerID = 1B. 


I 
54236666 | CALL zJHP.&LlSER32.S98&etTimer? |. 
ABS24Coe | MOL EBRS,OUFFSET 884C52Ae 
1AÉS6S366 | CALL a475563c Chlin RAR. 6647568C 
HE, 2490 | MOL EAS, OFFSET B64C52A8 
E864838B8 | CALL 86475564 CWinRAR. 66475564 
DeSe4Cee | MOL EAS, OFFSET S84C5208 
SECARSEE | CALL Gd PUP CWinRAR. amar BEDEC 
PUSH 4 Arge = 4 

DopaApopg | PUSH 468 Argi = 46a 
LG | MOL EDS, OFFSET Gab ASCII "BHrcHistory'" 
B4554C88 | MOL EAs, OFFSET Se4C55ea4 ASCII "ArcHistory™ 
9 ADR ECs, ECA 
GDL ZZ | CALL Dat A WinRAR, DAD A 
Haag | MOL EAS, OFFSET Daa ASCII "HrcHistaoru'"" 
Ha 20299 | CALL Gd Pen CWlinRAR. Da PG 
DA | PUSH 466 Hraz = 480 
CHE | PUSH Ee Arai = 578 
DE£S4A66 | MOL ED, OFFSET Dateie ASCII "Favorites" 

5 Br] 48S54C88 | MOL! EB, 2 rer 46405548 ASCII "Favorites" 

BH4SFSBC]] + AA NU —————— MOL Eta. 3 


[Thread 2 ( hread 2. (ID 000007FO) terminated, exit code 0 | zd 








La mejor forma de parchear el programa es no dejar que el contador de tiempo aparezca 
después de pasado los 40 días. Para ello nos situamos en el principio del "Case 113 
(WM. TIMER)" donde se comprueba si el caso es correcto para cambiar la instrucción de JNZ a 
JMP (es decir, que salte siempre). 
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BESSFPSS|>e~ BFSC 7014660 IL mSiidaBD-3 

BE4SF 756 2160 DSFEFFFI CHF OWORO FTA SS: CLOCAL. r41, 662 
ma4s3rFrz5B8l|--« EFSF 6014664 JG B644ABD3 

bad4SFré6/] += BA 66694A66 | NOW EDs, OFFSET S84A6968 
DOd2ECGb GER HOR ECS, ECX 

Be4+SF 760 SECS HOU EAS, ESI 

Ba43FreF ES HS4rG288 | CALL ma4es3Fic 

DAF Ce ES El dp | JNP Se44eB05 

BEMSF res SB45 1H HOW EAS, DWORD PTR SS: CARG. 3] 
Be4SF rr SBES 66404Cel CHF EAs, DWORD PTR DS: [40406481] 
BBASFTOP BFSS 4614886! JHE Se44eB05 

BE4SF PES BS 66404Cee@ | MOL! EAs, OFFSET 86404068 

Ba43r 730 ES 4ACO6166 | CALL Se45C40C 

BR4SF P92 E9 320146666 | INP Se44eB05 

BE4SF P37 > S230 Faré4Cal CHP OWORO PTR OS:[4Cr6Fä], 6 


Case 113 iWH_TIHER] of switch WinRAR. 43Feaq4 
Bad3FrP3E|[ pra Y JHE SHORT Bad sFElD 
assemble j= x 


LES 
0043F ZOE [IMP SHORT 0043F810 -| 
[€ Keep size 
dose | 


[v Fill rest with HOP: 
= key" 


Cul inRBR. da4ariea 


ASCII "HELFHeIlpHenu" 


Case FB iMm COMTERTHEMLUJ of switch WinRAR. AE DA 


Ae42F FOD 
BBA3FTE2 


ES Benameana | MoU ECH, 6 
ES S1FS9FCFF | CALL Ba4BF168 


Ba43FrE? 
Dd2E CES 
BE4SFrEB 
BE4SF7FS 
BE4SF PFS 
Ba43FrFS 
DD4d2E ZE 


BE4SF Sao 
maasraus 
BE4SF Sar 
Ba43r san 
Ge SE 


BB43FS24 
BB43FS26 
Ge4SFS20 


aBn4araaa 
BB4sFSsn 


68 362E4806 
FFSS 4C4D4CB 
68 4694088 
FFS5 4628468 
ES Lei Cep 


TEST EAs, EAS 

Je SHORT üaBad3FSin 

HOU EAH, OWORO PTR OS: [4223620] 
CHF EAS, 23 

JG SHORT HDAZ2E PFS 

TEST EAS, EAS 

JGE SHORT Ae4SFS10 

HOU BYTE PTR OS: [4A6895], 1 
PUSH & 

PUSH DA 2E 20 

PUSH OWORO PTR OS: E4C4DA4C 1 
PUSH OFFSET DAD 

PUSH OWORO PTR OS: [4626481 
CALL <JMP.&USERS2Z.O0talogBoxP arama? 
CHF BYTE FTIR DS: C4468941,6 
JE SHORT Bad3FS42 

CHF BYTE PIR 05: C4CréF4]1,6 
JHE SHORT GDo42EGd2 

HOU BYTE PTR OS: [4A685894], 6 
PUSH & 

PUSH o 

PUSH 148 


InitFaram = Ø 

DialogFroc = WinRHR.482E3H 

hFarent = BEECHEFS, class = WinRarllindow, text 
TemplateName = "REHIHDERE'" 

hinet = &BBa4mmada (WinRAR) 
USERS2.DialagBosParamH 


[Parar H 
War ab H 
Heg = Wn CLOSE 


Descargas - ll 





Ahora, siempre que el controlador de mensajes recibe un mensaje de que el tiempo se ha 
agotado, simplemente lo ignorara. 


am4srzoz||» 8330 Feré4Cal CHP DWORD PTR Dës [4C76EpJ],0 
BG4SF79E| ~ EB FO JMP SHORT aa4aFeiD 
añdASFRAB|] - 8095 A4FAFFFI LER ED, CLOCAL. 242] 


Case 113 (IW TIMER) of switch WinRAR. 43F6A4 





Pulsamos F9 y veremos después de unos segundos que el nag ha desaparecido 


1— Descargas - WinRAR (evaluation copy) 





File Commands Tools Favorites Options Help 


SN 


Wizard Info Repair 


Delete 


Extract To Test VIE 





Modified 


= Folder 












= — x = ELLE RE ONG Ae ale PRATER EE eg 


6. 365, 278 WinRAR, ZIP E — 





06/11/2015 "Er u 


¡ma | Total 6,965,278 bytes in 1 File Zé 
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En el titulo de la ventana sigue poniendo “evaluation copy", sin embargo esto no va 
afectar al funcionamiento del programa. Además veremos en el capitulo siguiente como 
solucionar el problema de los mensajes de las ventanas. Por ahora lo importante es que tenemos 
una aplicación que no expira en el tiempo. 


Otra forma de solucionar este ejercicio 


Podemos encontrar nuestro cuadro de dialogo utilizando la herramienta "Resource 
Hacker” en lugar de “Call Stack". Resource Hacker nos permite manipular los recursos que se 
encuentran dentro del archivo PE. Cada recurso que utiliza la aplicación (botones, cuador de 
dialogos, mapas de bits, iconos, cadenas de texto) se almacena en una sección específica del 
código. Más adelante veremos con más detalle el tema de los recursos al estudiar la estructura 
del archivo PE. 


Abrimos “Resource Hacker” y cargamos nuestra aplicación: 


EM Resource Hacker - C:\Program Files! WinRAR’, WinRAR.exe E = [2| x] 





File Edit View Action Help 












ps. 





= 
= 
uw 
=e 


F Bitmap 
239 Icon 
Eg Menu 
23 Dialog 
{_ String Table 
3 Accelerators 
D REData 

[ig Cursor Group 
(23 Icon Group 
{J Version Info 


SR 


E [mg 


El arbol de la izquierda nos muestra los diferentes recursos de nuestra aplicación. 
Vamos a desplegar la carpeta Dialog y seleccionamos la primera "ABOUTRARDLG": 
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GA Resource Hacker - C:\Program Files WinRAR WinRAR.exe 


File Edit View Action Help 
Hide Dialag | 


Ey Dialog a 
| BE ABOUTRARDLG 
p GES ABOUTRARDLG DIALOG 85, 26, 183, 175 
STYLE DS MODALFRAME | WS POPUP | WS VISIBLE | WS CAPTION | US SYSMEHU 
CAPTION "About WinRAR" 


[53] ASKMEXTVUOL. 
ABKPROCESSVOLDLG 

LANGUAGE LANG RUSSIAN, Oxi 

FONT 8, "MS Shell Dlg" 


CMOMODE 
i 

























crmpiiesssript 











GMT Wl) 
CMOWNOBENCH 
CMOWANOCONVERT 
CMOWADFING 
CMOWADOTHER 
COMFIGCOMPRES SION 
CONFIGGENERAL 
CONFIGINTEGRATION 


CONTROL 104, 109, STATIC, SS BITMAP | SS NOTIFY | SS REALSIZEIMAGE | 

CONTROL "WinRAR", 107, STATIC, SS LEFT | WS CHILD | WS VISIBLE | US G 
CONTROL "Copyright © 1993-Sd by", 106, STATIC, SS LEFT | WS CHILD | U 
CONTROL "xlesanderE- Re ber Leer e CLE 
CONTROL "Translated hymyour name! [£x ABOUTRE | 
CONTROL "", 106, STATIC, SS LEFT 

CONTROL "", -1, STATIC, S3 ETCHED! 









Ey COMFIGLIST CONTROL ""., 101, BUTTON, Es OWNER] 
SÉ CONFIGPATHS CONTROL "20 days trial copy", 102, 
GLEN CONFIGSECURITY CONTROL "". 103, STATIC, $5 LEFTM 
mee CONTROL "'". 104, STATIC, 55 LEFTN: 
PLS CONFIGVIEWER ER WinRAR 


CONTROL "", -1, STATIC, 33 ETCHED] E 
CONTROL "OK", 1, BUTTON, ES DEFPU: aes Bon by 
CONTROL "", -1, BUTTON, B3 GROUPE: cedes un. 


Se 


] CONTESTITEMS 
CONVERTARC 








o. H CREATEVOLDLG isa by 
i OUT nare 
a. CH DEFVOLSIZES Y 
(3 ERRORLISTDLG 
| pec] FAVORITESDLG 
2 B. 743 FINDDLG 40 days trial copy 
E FINDFILES 
Mo A z 
4 


Resource Hacker nos muestra todos los datos correspondientes al dialogo seleccionado. 
Vemos también que abre una ventana para que tengamos una idea de como va aparecer ese 
dialogo en el programa. En este caso en particular se abrió la ventana de “About WinRAR”. 
Después de inspeccionar unas cuantas carpetas dentro del arbol “Dialog”, llegamos a la carpeta 
que nos interesa: 


http://masteracsi.ual.es/ 


EN Resource Hacker - C^ Program Files), WinRAR WinRAR.exe 





File Edit "View Action Help 
EE INFOSFX * 
Ey NEWPROFILE 


y OKCANCELTPL 


e SELECTVIEWERDLG 
o 1 SFXADDSHORTCUT 
H-E. SFXOPTADVANCED 
H-E SFKOPTGEMERAL 
mcg SFXOPTLICENSE 
H-E SFXOPTMODES 
o. SFXOPTTEXT 

H-E TOOLBARBUTTONS 


3 UNSELECTDLG - 
4 — (7709 & Hm nbkl wë 


A 





Eomplle-scHpl 


rT 1 Sp 





Hide Dialog | 





u — 





REMINDER DIALOG 18, 61, 225, 
E ORGFAVORITESDLS STYLE DS MODALFRAME | WS POPUP | US VISIBLE | WS CAPTION | WS SYSMENU 
SC ORGPROFILES CAPTION "Please purchase WinRAR licenze" 
CH ORGTHEMES LANGUAGE LANG RUSSIAN, Ox1 
W-E OVERWRITEDLG ¡[FONT 6, "MS Shell Dig" 
ce PACKDETALS ae i 
2-53 REMINDER CONTROL "Buy &online", 102, BUTTON, BS DEFPUSHBUTTON | WS CHILD | WS 
1 m CONTROL "How to &buy", 101, BUTTON, BS PUSHBUTTON | WS CHILD | WS VIS 
ien CONTROL "Close", i, BUTTON, BS PUSHBUTTON | WS CHILD | WS VISIBLE | W 
1-13 RENAMEDLG CONTROL "&Help", 9, BUTTON, BS PUSHBUTTON | WS CHILD | WS VISIBLE | W 
-0 REPAIRARC CONTROL "", -1, BUTTON, BS GROUPBOX | WS CHILD | WS VISIBLE, 4, 4, 13 
H-E REPAIRSUSPDLG CONTROL "Please note that WinR&R is not free software. After a 40 day 
SG. REPLACEFILEDLG H 
1-23 REPORT 
H-E REREG 
j-e SELECTOLG 
S.E SELECTTOOLBARS 


Haw to buy | 
Close | 
Help | 


Please nate that A inRAR is not free 
software. After a 40 day trial period you 


must either buy a license or remove it 
from your computer. 


Vemos que el nombre del dialogo es “REMINDER”. Windows utiliza algunas veces un 
nombre y otras veces un ID para referirse a un cuadro de dialogo. En este caso utiliza el nombre 
“REMINDER”. Ahora ya podemos abrir Olly y buscar la cadena de texto “REMINDER”: 


- [Text strings referenced in WinRAI 








IR| File View Debug Plugins Options 
fd) SI Om) + 


Address Disassembly 
64681664 Wink Jup SHORT WinRAR. 6441612 


Era 1 anp ASCII "atti. 

Ae461246 HOLU EDR, WinRAR. 66442100 
DAG ep ASCII "SZav«eFileFaz",ü 
66461754 ASCII "ComprDlatal0",ó 
Ae4617A4 ASCII "Unpack, A 

pam 704 ASCII "8L", 6 

Ae46170C ASCII "DL", A 

Dal EA ASCII "PL",.EH 

Ae461082 DD WinRAR. 464680668 
66461484 ASCII "Array<wchar_t 2". 0 
6b461B20 ASCII "Hrrau£zwuchar t? 4" 
pnmnadmnipac ASCII 4 

HE461 DER ASCII “"Array< char?" 8 
DAC ep ASCII "Hrrauzchar? Sit, 8 
[5/5 575 pin M5] ASCII "Rawlrite",n 
66442114 ASCII "BHrrauzunzeianed c" 
AB462128 ASCII "har?",ü 

paa 184 ASCII "BHrrauzunzianed c" 
pam 194 ASCII "har? #4 
Ab4625C2 PUSH WinRAR. a64A= 107 
DAG, HOU EC, WinRAR. 66442100 
DRADL2GC D ASCII "File",ü 

Ab462914 PUSH NHinRAR.444A2=1E4 
Ae4+62C06 PUSH WinRAR. 46402100 
6463440 HOW EDs, WinRAR. #644216 
Ae463121 HOU EDR, WinRAR. 664442168 
6463555 ASCII "EnumStreamz",ü 
DAD PUSH WinRAR. DDAUZ2IES 
Bpnmnadmspad HOLU EDX, 16668 

He46SCCC ASCII "Pd",.H 

AB46SCFC ASCII "Pack",tü 

DRA2E 28 PUSH WinRAR. DDADZIEZ 
HE46SF EP HOU EA, WinRAR. 644A21F= 
AE4646BS HOU EDK, WinRAR. 664021F6 
HE4640F5 PUSH WinRAR. Se4Aq21F 3 
[mama 5 18 DD WinRAR. S6464CE8 
6464514 ASCII "Archive Sit, H 
piana PUSH WinRAR. 86402100 
Ae464C2E HOU ED, WinRAR. t64A=1F3 
HE464CES ASCII "2". 

Ae464018 ASCII "Archive", 

Eia pd ASCII "HT",.H 

ab4A4055 ASCII "PackHnaluze",n 
64684006 ASCII "HodelPPH",a 
piam ASCII "HuffCoder",ü 
piam? ASCII "BitInput"", 
BE4B4EBC = | ASCII "Rar", 

4 


ai 


Text string 


[Initial CPU selection) 


Enter text to search for x| 


ASCII "CHT" 


Window Help Tools BreakPoint- = 


eh 4 


HI 
3 


[REMINDER] -| 


ASCII "MZP" [ Case sensitive 


[v Entire scope 





ASCII " rar aaa 
ASCII "CHT" 


ASCII "stdin 
ASCII "EMT" 

UNICODE "TT. NI 
UNICODE TT. AND 


ASCII "AL" 
UNICODE "2::2::--—" 


ASE I DR DR 
ASCII "RE" 
ASCII "Protect+" 
ASCII "RE" 
ASCII "usar 


ASCII "CHT" 
ASCII "RE" 
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Cancel | 


wf 


Hacemos doble clic sobre la linea seleccionada. 


- [Text strings referenced in WinRAR: text] 


















[R] File View Debug Plugins Options Window Help Tools BreakPoint-> - [&] x| 
" " " " BR —| NEN 

edd X| Kill €"* eb] | a ==" 

Address Disassembly Tent string a| 

Ba4SFe49 FUSH WinRAR. 664A625B 1 ASCII "site name 2" 

Be4SF276 MOL! EAR, WinRAR. BE4ASSED ASCII "Henu" 

Ba4SF 296, HOU EAS, WinRAR. HAdABSC 2 ASCII "Settings" 

Be4SF 530 MOU EDA, WinRAR. GOAL ASCII "HrcHistoru" 

naadaraBz MOD EDs, WinRAR. BaA4ASSO6 ASCII "Favorites" 

BE4SF4B3 PUSH WinRAR, 64h63Ee ASCII “"RarArch ivenane™ 

He4SF4E6 PUSH WinRAR. DHAUGDEF ASCII "RarArch ivenamnel™ 

Be4SF544 MOD EDs, WinRAR. mad pesm? ASCII "Wizardhode™ 

He4SF54F MOL EAR. WinRAR. ga4AESFF ASCII “General” 

Be4S5F 668 MOD EAR, 10606 UNICODE "rip 

HE4SF EAS HOW ED, WinRAR, 6646912 ASCII “"HELPFileNenu"™ _| 

Be4SF6C6 MOD EDS, WinRAR. b4A691F ASCII "HELPFCammandsHenu" 

Be4SF6EC HOW ED, WinRAR, Bedpes3d ASCII "HELPToalsHenu" 

He4SF 712 MOL! Ex, WinRAR. be4A695E ASCII "HELPFavoriteshenu" 

Ba4SF 738 HOU EDs, WinRAR. be4A695e ASCII "HELFüptionshHenu" 

He4SF 766 MOL EDA, WinRAR. Ge4h6 368 ASCII "HELFHeIpfHenu" 

He4SF 708 HOU EDS, WinRAR. b4A6960 ASCII "rarkeu" 

Be4SF E60 PUSH WinRAR, &64Ae974 ASCII "REHIHDER" - 

He4SFA14 PUSH WinRAR. 644463970 ASCII "wor" 

mida FUSH WinRAR. 664483952 ASCII "http://www. rar lab. com" 

60410656 PUSH WinRAR. DHA ASCII "ABOUTRAROLG"" 

Be44660A MOD EDs, WinRAR. iid pesma PEI Mesue 

Be446716 MOL EDA, WinRAR. fe4h6 36a ASCII "Detailed" 

nadamaziB MOD EAR, WinRAR. be4A6e3A7 ASCII "FilsList" 

Be446744 HOW E, WinRAR, 664636 ASCII "Detailed" 

Be44674F MOL! EAS, WinRAR. BAD OH ASCII "FilseList" 

EISE ETGEN HOU EDs, WinRAR. be4Ae3C5 ASCII "LargeButtonz" 

HAAG, MOL! EAR, WinRAR. Boa 22 ASCII "Generals ~Toolbar™ 

nada MOD EDs, WinRAR. be4A63C5 ASCII "LargeButtons'" 

Be4467Ae HOW EAR, WinRAR, 6646969 ASCII "General Toolbar™ 

Be4467°CF MOL EDs, WinRAR. be4A6306 ASCII "ButtaoansTest" 

668448704 HOW EAR, WinRAR, H04A63BES ASCII "General--Toolbar" 

He4467°EB MOL EDS, WinRAR. Boa Oe ASCII "ButtaonsTest" 

Bed44o7F 8 HOW EAH, WinRAR. HA4A6SES ASCII Mc En 

664449510 MOL EDA, WinRAR. GOAUG2E 2 ASCII "Lo 

naaanazz MOD Es, WinRAR. HAdASSGBS ASCII "GeneralssToolbar" 

664405836 HOW E, WinRAR, BedpesE2 ASCII "Lock" 

HAD MOL! Es, WinRAR. Boa OD ASCII "General Toolbarit 

Be4405B7 MOD EDs, WinRAR. mid pesE? ASCII "AreSort™ 

Be4465BE MOU EDA, WinRAR. 8e4A63EF ASCII "FileSort" 

Be4465C3 MOD EAS, WinRAR. mad pen? ASCII "FilseList" 

HnaaadsEB MOL EDs, inRHE.GBBA4HESFS ASCII "FlatWiew 

Be4465F 8 MOD EAS, WinRAR. HaAdASSAr ASCII "FilsList" 

HAFF HOW E, WinRAR, GOdnG2EG ASCII "FlatView" 

60440911 MOL! EAR, WinRAR. BAD OH ASCII "FilseList" 

HDD ed MOD EDs, WinRAR. Do4DeGnpob ASCII "DiskTree" 

HAAG MOL! EAR, WinRAR. DUHR) ASCII "TresPanel" 

eeddaser = | MOU EA, WinRAR. ga4Aeno! RSÉII "TreePanel" 


4 


HDAZE CC 
DDAZE CA 
AB4SF PCE 
HE4SF PCO 
IZEG 
BASF ct 
GA SEeDD 
DAF EZ 
DB4BFTET 
BO43F7E9 
Ged SF FEE 
BE4SF CES 
He4SF EZ? 
BASF EE 
BESET FF 
BE4SFrF3 
iaa 3rFaud 
BRAS OZ 
DOE en" 
Ha43Fann 
HmndaFa8iz 
mmumdsrala8 
nadsrain 
AB4SFea24 
HE4S3F R26 
BH4SF S20 
DDAZEGZE 
HE4SF S56 


GEES 


E ER 
DAF S52 
HB4SFe54 
BB4SF E56 
Andere ZED 
BB43FBEF 
Be4S3F S65 
BASF OG 
HE4SF S60 
BB4SFS6E 
mnad3rFar3 
BASE e 


gads SFS 


Window Help Tools 


ES SSC4FCFF 
BA 60e24ha8 
ES OG 
ES SiF9FCFF 
S5CH 


rd 32 
Al pc D 


ro 24 
CEGOS 95624Ab6 fou BYTE PTR OS: (46895), 1 


6H BB PUSH & 
&8 30284300 | PUSH Wi 


68 7469406 ` PUSH lu AR 
FF35 482H4BB| P EREL Sy DUERO 1 
ES Lelong IMF, $ 


74 10 | JE Sl 
BBBD areata E B 


r5 13 H Ln Fede 

Cees 24684A8) not EXT PTR Ds: [46394 a 
PUSH & 
PUSH & 
PUSH 10 


ES 20196698 

SECA 

75 Bn | 

BS ém4n4caB | MOL EAM, | 

Es 60990100 WinRAR 
“OR EA, EAH 


Saca 
SB9S E4FEFFF MOL ED, 
64:8915 5006! HOW DWORD PTR FS:L81,ED* 


BreakPoint-= 


ASCII "rarkey"™ 


iu 
peri B = 


Sub 


= HULL 

c = WinRAR. be4S2E36 
ULL et 

= "REHIHBER" 
LLL 

o#ParamA 


oT 


EM 
SE) 


EK sief 
vn UI So ae 


O=4=a— 
=: kel ës Cl e Oo 
zt Et ka 


nu — A 
=F 
Hes=age = WH CLOSE 


hind = FFFFFFFF 
FostHessagef 


hObject. = MULL 


[hoest = 1H. ms 
WaitForSingledbject 


ntdll.kiFastSustemCallRet 





Si el recurso fuese identificado a través de un ID en lugar de un nombre, bastaría con 
hacer clic con el botón derecho sobre la ventana de desensamblaje y seleccionar "Search for" - 
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“Command”. A continuación introduciriamos “PUSH xx”, donde ‘xx’ sería el ID (en 
hexadecimal) del recurso, lo que nos llevaría al CALL del cuadro de dialogo. 


7.13 Caso práctico 13: Los mensajes de las ventanas. 


En casi todos los programas, con excepción de las aplicaciones escritas en Visual Basic 
*sigh*, .NET, o JAVA, las tareas se llevan a cabo utilizando para los mensajes el procedimiento 
de devolución de llamada. Es decir, a diferencia de la programación en DOS, en Windows se 
crean ventanas que proveen las diferentes opciones para configurar los ajustes de un programa, 
los mapas de bits, los elementos del menú, etc. Después se añade un loop que continuará hasta 
que finalice el programa. Estos loops son responsables de recibir los mensajes de las ventanas 
para enviarlos a los procedimientos de devolución de llamadas. Estos mensajes pueden ser 
cualquier cosa, desde mover el ratón hasta hacer clic en un botón. Cuando creamos una 
aplicación para Windows incluimos estos loops en el procedimiento WinMain junto a una 
dirección para hacer la llamada. El loop envía el mensaje que recibe a nuestra función de 
devolución de llamada con la dirección que hemos suminisrado, y en esta devolución de 
llamada decidiremos si queremos hacer algo con ese mensaje en particular o, por el contrario 
dejar que lo maneje Windows. 


Abrimos Olly y cargamos el programa Crackme12.exe. 
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OllyDbg - crackmelz.exe d x 
File View Debug Plugins Options Window Help Tools BreakPoint-> 
up 44 X] KI €i*i eub al a E 
CPU - main thread, module crackmel - [ml x 
6604414006 PUSH & phodule = MULL ES 
66441442 GREEN GetModuleHandleA 
Dale AS 2538408 MOL DWORD PTR OS: [463425], EAS 
AA461 HAC GH HB PUSH B [Param = MULL 
AA 461 ARE 65 2B1040H4h4 DlgProc = erackmel.HBmadnmim2B 
6401615 GH ab hOwner = HULL 
6401615 GU 2m plemplate = 32H 
He4H1H148 FF35 28384888 PUSH DWORD PTR OS: [4634287 hInst = NULL 
66401024 ES SFe4h8H [li al oaBosParamH 
66401425 5B PUSH EAR Es itCode = HB 
66441425 ES "Blind CALL Ex itProcess 
66441426 55 PUSH EBP 
66441420 SBE MOL EPP, ESP 
6644142 S170 mc 146166484 CHF 115 
66441435 of fs sf 
6401437 LC 32538486868 Do NOW OWORO PTR DS: C4636043], 0 
66401641 Cras 323846868468 AD) HON OWORO PTR DS: [463638], 8DEP 
66401446 Cras 30238484464 AD) MON OWORO PTR DS: [4634357], 80ER 
664601455 LC 368348448448 42| HOU OWORO PTR OS: [4636440], 4242 
DA DEE , LH 320384664 Be) NOW DWORD PTR OS: C4030401, ASCII "Hn error occured" 
664414659 a. ED DEmnlmgamg JMF 
6644145E A 83°70 AC 14 CHF 15 
Dale 3 2 r5 HU 
66441474 FFr5 as hing = 6640144 
Dale , ES 3264640040 [lest raullindaw 
DALL vw ED Lola 
6401451 A S170 BC 110144064 
66401485 M BFES BSA abe 
Bmn4ag1iadaE , BB45 16 
coso1a31 ||: SE 19 7 


Los programas escritos en C o C++, utilizan el “dialog box” para abrir la ventana 
principal de la aplicación. Hacemos clic sobre la línea 401020 para ver la definición exacta: 


=la] x| 


 Win32 Programmer's Reference E : 


Archivo Edición Marcador Opciones Ayuda 


DialogBoxParam 


The DialogBoxParam function 
displaying the dialog box, the fu 


creates a modal dialog box from a dialog box template resource. Before 
nction passes an application-defined value to the dialog box procedure as 


the Param parameter of the VWM_INIDIALOG message. An application can use this value to Initialize 


dialog box controls. 


int DialogBoxParam( 
HINSTANCE ^i/nstance, 
LPCTSTR inTemplateNarme, 
HWNHD Arnd arent 


DLGPROC (BLAME d 





Parameters 


hinstance 
Identifies an instance of the 


ipremnplateName 


A handle to application instance 
‘identifies dialog box template 
A handle ta owner window 
‘pointer ta dialog box procedure 
“initialization value 


module whose executable file contains the dialog box template. 


Identifies the dialag box template. This parameter is either the pointer to a null-terminated character 
string that specifies the name of the dialog box template ar an integer value that specifies the 


resource identifier of the dia 


high-order word must be zero and Its low-order word must contain the identifier. You can use the 


BER PF PPR rs a SUNT 


lag box template. Ifthe parameter specifies a resource identifier, its 


i 


En nuesro caso, lo más importante a tener en cuenta en este CALL es la dirección de 


DLGPROC. Se trata pues de 


la dirección de la devolución de llamada de nuestra aplicación y 
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que se ocupará de todos los mensajes de Windows. Si volvemos a la ventana de desensamblaje 
podemos ver que comienza en la dirección 40102B. 





OllyDbg - crackme12.exe 


File View Debug Plugins 
ey 44| X 












b |l 






Options 


eje EE 


Window Help Tools 









-+j 


ai 





BreakPoint- > 





CPU - main thread, module crackmel 


hala ech Iech iie 


KSE, 
ODC DAS 


Ra tw Ew e Aa] 


DS) 
I-A ¡=> 
DO 


nan 
Len 


5 LHZ 
BadnplasB 
Hagi 1820 
BE46182E 
Bad 
DRapl 2 
Daopl Ga) 
Dap 1646 
668441055 
Dap DEE 
6684414069 
668441 DE 
Dap LD 
66441074 
Dap d 
Be48 187°C 
66441031 
44461433 
44461 SE 
Dal ol 
44461434 
Bad] uar 
4 


[as 
Lang 
29304406 


au 
26104006 


BE 

55 5/5/5185) 
FF35 22504004 
E: SF dada 


ES GPA 

55 

SBEC 

S170 mc 14618668 
TS SF 

Cres 48304066 man 
Cres 32304666 AD 
Cres 550468668 AD 
Cres 468504008 42 
Cres 40364008 Ba 
ES DEL Op 

aarL Bc 18 

ro BO 

FFr5 na 

ES 32648088 

ES CPI 

sirD mc 11616688 
Brass DEI og 
SB45 18 

SBSS 1H 

CIEH 18 

66: BBD2 


PUSH El 


CALL 
HOJ DWORD PTR DS 


PUSH & 


: [4838238], EAS 


PUSH crackmel. 66461026 


PUSH & 
PUSH 328 


PUSH EAX 


CALL 
PUSH EBF 


MOL EPP, ESP 
CHF 116 


MOL DWORD PTR DS 
HOU DWORD PTR DS 
MOL OWORO PTR DS 
MOL CWORD PTR DS 

DWORD PTR OS 


CHF 18 


CHF 


Je 
MOL EAR, 


MOLI EDK, 
SHR ED, 16 
OR Da, Da 


PUSH DWORD PTR_DS: [4636028] 
CALL 


: [46036045], 8 

: [4828381], ADEF 
: [483830 1, BDEP 
: [483848], 4243 
: [4838401], 





phHMadule = NULL 
Get Mody leHandleA 


IParam = HULL 

DlaProc = crackmel, 6044102 
hOwner = HULL 

plemplate = 32H 

hInst = NULL 
DialogBouParamA 

E} itCode = Ø 

Ex LtProcess 


ASCII "An error accured" 


hlilnd = 664461648 
Destroyllindow 





El DlgProc es como un switch gigantesco. Este procedimiento esta aqui 
fundamentalmente por una razon: dar respuestas a los mensajes de las ventanas que queremos 
responder. Si nos fijamos bien podemos observar un conjunto de instrucciones de saltos y 
comparación que comprobarán cada sección de código con el ID del mensaje que la ventana ha 
enviado. Si el código coincide con alguna de estas instrucciones de comparación, este va a ser 
ejecutado. En caso contrario se devolverá a la ventana para su posterior procesamiento. 


Veamos este proceso un poco más de cerca. Pulsamos F9. 


lll C rackmez12 by Detten x] 





Si hacemos clic en cualquier botón, vemos que no sucede nada. Parece que tenemos 
que introducir un código especifico sin el cual la ventana permanecerá inalterable. 


Ponemos un Breakpoint al principio de DlgProc en la dirección 40102B y reiniciamos la 
aplicación para poder ver ‘entrar’ el mensaje. 
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OllyDbg - crackmel2.exe = E |x 

File View Debug Plugins Options Window Help Tools BreakPoint-> 
gx 44 Ni el] €" EUIS oa FE 

CPU - main thread, module crackmel E: [mn] [Es 
BASH | 6A Be PUSH B podu Le = NULL T 
eam ua . ES CbBdaaadd CALL GetModuy LeHand LeH 
Eemda1g]97 AS 233644406 MOL OWORO PTR OS: [4630283], ERA 
Haq Lo GH ab LParapn = NULL 
66461 ABE GD 221044046 OleProc = crackmel, 46461826 
664816813 GH ab hOwner = HULL 
46441415 65 206544000 plemplate = 320 


amdaidinH 
Dap 1 028 
464414025 
66441426 


FF35 25304000 
ES SFe4+eo68 


5B PUSH EAS 
az apad 


PUSH EBF 











86441420 SBEC MOL EEP,ESP 
6644162E S170 ac 16618886) CHE 118 
a646814235 ~ PE S? JHE 

664418237 CTOS 482649668 Bal HOJ DWORD PTR DS 
66401641 CAS 38364666 AD DWORD FTR DS 
6640104B CAS 303644066 AD OWORO PTR DS 
66441655 CAS 46823040606 42 DWORD PTR OS 
BBa4a105F CTOS 4023040668 a DWORD FTR DS 
604415689 v ES DEB18aGa88 

Ba4a0106E S370 AC i18 

66441072 ~ FS BD 

Be4aierd ||. FRPS os 

@G401077 |. ES 32040000 

aadeierc |i. ES CPoioomp 

añdaiesi | > 28170 mc 11610006 

aa4siass Il. DESE ES610666 

Ba4a0108E 2845 1a 

66441691 BEES if 

66401034 C1EA 18 : 

suet EN 66: ABDZ DOR OF. DN 

4 












PUSH DWORD PTR OS: [463625] 









hInst = BmBadaaman 

[I LaloaaBozParamH 
ExitCode = TEFFDOFARA 
Ex ttProcess 


: [403045], 8 

:[48283381, BDEF 
: [483830 TI, BDEP 
;: [4030460], 4242 


: [4603640], ASCII "An error occured" 


hind = Badalim2BE 
Destroyllindow 


of 


Vemos que tampronto pulsamos F9 nos detenemos en el Breakpoint. Podemos ver unas 
cuantas instrucciones antes de que aparezca la primera comparacion en 40102E. 


40102E CMP [ARG.2], 110 


Si nos fijamos en el listado de los mensajes de Windows vemos que el ID 110 
corresponde a InitDialog. Este mensaje le da a nuestra aplicación la oportunidad de iniciar 
alguna cosa. En nuestro caso se ejecutará el código que comienza en 401037. 





OllyDbg - crackmel?.exe 



























File View Debug Plugins Options Window Help Tools BreakPoint-> 
[44 sl ej] we EI all ai E 
CPU - main thread, module crackmel - [B] x 
664616668 rz 6A PUSH El fees = HULL m 
paa um . ES LB CALL GetModuleHandleA 
DA Le AS 225304444 Hou OWORO FTR DS: [443623], EAR 
Aagi Bb: GH ab JUSH B [Param = NULL 
B46 1 ABE GD 261044646 OlaProc = crackmel, be461826 
HA4h16135 GH DR hOwner = RULL 
Be4e1815 bo 2HRSHRRE PUSH 328 plemplate = 32H 








Be4616148 
agam 
agaaim25 
468441026 


464481420 
GIS? 
668441035 
444614=7 


FF35 225304000 
ES SFB4maad 


5H 
ES "Gap 
55 












PUSH ERE 
CALL 


PUSH EBP 
MOLI 
CHF 





EEF, ESF 
1168 










SBEC 
5170 BC 106816606 
Ch Ge 
Cres 483046006 D 





MOL DWORD PTR OS 


Beg 1841 CFOS 38304008 AD) MOU DWORD PTR DS 
60401846 Cras 30304008 AD MOU DWORD PTR DS 
Bee Lab Cras 40304000 A2 MOU DWORD PTR DS 
Bede LEIGF Cras 4C304000 op MOU DWORD PTR DS 
Badalas || + ES DEBiBBaGG 

Bede BE S370 ec i8 CHP 18 
Baqalar || .v 75 6D 

Be4eimr4 ||. FF7S os PUSH 

saqaiarr ||. Es 52040008 

sa4eimrc || i~ ES Cëoionos 

se4eigel ||? 8170 mc 11810099 CMP 

Be4eigmes ||.- OFS Bsaieeea Luis 


Tram ac mmi l 


d 
Stack SS:L[BaisFDi4]-aBamBamia - 


PUSH DWORD PTR DS: [462022] 
CALL 







hinst = BmBdnmamamn 
DialogBoxParameA 

Ex itCode = rFFDFiaaa 
Ex itProcess 


: [4030451], 56 

: [4030351, BDEF 
:C46S63C 1, DEH 
: [483848], 4242 


: [403040], ASCII "An error occurred" 


hlind = BRZERITSC ('Crackmedilz bu Detten", 
Destroyh indow 


[ 
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Si nos fijamos en el área entre el desensamblador y el dump vemos que [ARG.2] no es 
110 sino 30. Y segün nuestro listado, 30 corresponde al mensaje para configurar la fuente 
(WM, SETFONT). Este es pues el primer mensaje que Windows envía al código. 


La siguiente comparación en 40106E es con 10, que corresponde a WM, CLOSE. Es 
decir, cuando pulsamos el botón close, se ejecutará el código en la dirección 40106E. La 
siguiente comparación en la dirección 401081 es con lll, lo que corresponde a 
WM, COMMAND. 


Junto a WM COMMAND un segundo integro es enviado en ARG.3 para ayudar a 
esclarecer el mensaje command. 


OllyDbg - crackme12.exe 





File View Debug Plugins Options Window Help Tools BreakPoint-> 
ed déi Ni Kill ee |l ali oa E 


CPU - main Ehread, module crackme1 I -Ioj x 
ah. 
















Edd 1dsE > B3rD AC 14 

44441H4r2 were B 

[da lu EE ek HS hind = BEZEB12C ("Crackme#l2 by Detten", 

46441077 ES 32640008 Dest royllindow E 
ES CEBI HGHH 

11 Siro ac 116160440 
a8 HFSS E541 4644 

444401 ASE =- GBj5 1H 

46441691 . BESS 1H 

4441034 =- CIE if 

44441037 . 66:B6B02 

4644401434 ¿e AFSS HCl JHE 

46441 HAH . B6:IS3FS 65 

Gold |. 75 ac JNZ SHORT crackmel.BB4B18B2 

46441 HAE . A Aj 

44441 HAE , Es Feel beee 

464441 ARO ¿e ES 46816668 

Hiqi d BZ > Gs Gë 

maaalaEe ||. 75 ac SHORT crackmel. 00401004 

464401 OP . 6A Da 

4644401 ABA , Es EBB BRE 

Be4616EF .5 ED 2E010644 

4444] Ed > BBISBSFS Ge 

aedeiece || i. 75 ec SHORT crackme1. 00401006 

44441 ACA . GA HS 

a64a1 acc . ES 04616400 "MEE dg 

46441601 .5 Ed 120106404 

am4misDé || > 66:85F8 68 CHF Ax, 6S e 

4 k 


Por ejemplo, si hacemos clic en un botón, vendrá un mensaje WM COMMAND y 
ARG.3 puede que tenga el ID de ese botón. Si estamos trabajando con un programa de diseño, 
ARG.3 podría contener las coordenadas X e Y correspondiente a la posición del ratón. 


Si nos fijamos bien, WM, COMMAND es el único mensaje que maneja este 
procedimiento. Si pasamos línea por línea veremos que no se está ejecutando código para 
nuestro actual mensaje, WM, SETFONT, y simplemente regresaremos al finalizar el 
procedimiento. 


http://masteracsi.ual.es/ 





OllyDbg - crackmel2.exe 
File View Debug Plugins 


en 44] X 


CPU - main thread, module crackme1 


r"HFSS BSb1 OO 












Options 
|l 








Window Help Tools BreakPoint-> 


oi +] HU UD > 


I 
[] 
* [ix [ees 





E 
































. | 8645 16 
añdaiasi ||. | 8655 16 

Ba4a1a924 ||. | CLEA 18 SHR EDK, 16 

Ba4aiaoy ||. | 66: 0602 Op 0%, DN 

aBa4a01m52n || 1 aras ncaiaaaa HS 

aa4aiana |}. | 66:83F8 65 CHP Ax, GE 

Aedeieed || nl 75 BC 

eb4aiaAas |f. | 6a ei 

as4aian2s |]. | ES Feeieees 

Ga" |) .-| ES 46010004 

aa4aiaEz || > | 66:83FS 66 

a6461656 || .-| 75 ac 

aa4aiaps ||. | 6A a2 

aa4aiaEn ||. | ES E6eigeas 

AG4A1GBF || .-| ES 2E0190090 

aa4aiac4 || > |66:83F8 67 

Aedeiece || .-| 75 ac 

gBe4aiscn ||. | 6A a3 

aa4aiacc ||. | ES D4eieees 

mad4gigDi ||. ES 10010090 

aa4aimpe || > | 66:83F8 68 

aa4a16DA |} .-| 75 ac 

ma4aiaDc ||. | 6n m4 

AB4G160E ||. | E8 C2010006 

anamimEs || | ES aamimnan 

gma4aiaES || > | 66:83FS 69 

AB4G1GEC || .~| 75 ac 

ama4aiaEE ||. | 6A ee 

aa4aiara ||. | ES Beeigeas 

amamimr5 || .-| ES Fenmmnanan 

ab4a19FA ll > | 66:83F8_ en 

4 

BB4811E2 62 ECO20666 PUSH ¿EC 

Ba4811BrT FF35 2852384888 PUSH DWORD PTR Ds: [4423428] 
añ4a118D ||. | E8 Faa2aaaa 

Ba4miic2 || .~| EB 2E 

añdalica || > | 66:83F8 a2 

aa4miicae || ..| 75 28 

as4aiicn ||. | Cres 26304000 DWORD PTR DS: [4420638], A4DEF 
868441104 CAE 303684804 OWORO PTR OS: [443630], 8DEP 
a64411DE Cres 463684600 HOW DWORD PTR DS: [403640], 4242 
añda11E8 ||. | Cres 44269000 HOW DWORD PTR OS: [463644], A 
aa4aiiF2 ||? | 8330 48364006 DWORD PTR DS: [4603648], 3 
AB4G11F9 || ..| 73 20 

añdaliFB ||. | 8330 44304000 DWORD PTR Ds: [4036044], an 
aa4misa2 ||. | ep 30 

as4a1254 ||. [Es 43626664 

Ba4g12n 62 Basm4aag 

a64a120E FFFE as 

aadaiz11 ES EDaianana CALL 

Ba48012158 Cres 44364600 HOW DWORD PTR DS: [403044], A 
Ba4801225 FFaà5E 438364660 INC DWORD PTR DS: [46423648] 


aedeize6 || .-| EB 19 











plemplate = 2BC 
hinst = Biaedmabnud 
DialogBoxrP arama 


ASCII "An error occured" 


4441228 2 |68 11304600 PUSH Text = "Trying to bruteforce?" 
464681220 . | 6H B3 PUSH 3 ContralID = 3 
BmmadmgiazzF . | FFFS Dä FLUSH 

HA4e1 232 . | ES 296240000 

Radar . | Crab 44504066 HOW DWORD PIR OS: (483644), D 

6441241 | EB 093 

HA4h1245 » SBS Baba HOW EA, DG 

HA4h1246 a (Ge LEAWE 

HA4e1249 . bz 1664 RETA 16 

464481245 » ES Blüamanmad HOW EA, 1 

Dap 251 dd LERUE 


Es decir, queremos que Windows maneje este mensaje, no nosotros. 


Pulsamos F9 y nos detendremos en el siguiente mensaje: 
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hlind = DRZEDL ZC ("Crackmeti2 bu Detten", 
SetDlialtemTezstH 


B 









OllyDbg - crackmelz.exe 






File View Debug Plugins Options Window Help Tools BreakPoint-> 
el dd] X| kl bat Bel de) all oa 


CPU - main thread, module crackme1 - [B] x 
E E A 














55 PUSH EBF 
MOL] 
CHF 







SBEC EEF, ESP 
GL Bc 1601000 118 


ro 3r 

31H . CFOS 4283846866 ma 
461641 . CFOS 3238448686 AD 
BESI61E46 |f. Ce SC304006 AD 
BE461ES5 fa Ce 465446004 42 
BE46185F |f. CAS 4034668 ma 
AR4616869 |f. ES DEalopog 
BE461H6E ||» S>57D BC 16 
Badplar2]||.- r5 6D 

aadain?4 ||. FPS m8 

aGBanin?? ||- ES 3208448000 
aamadgianrc|[|.- ES Clopp 
44461431 > 8170 BL 110146068 
BE4618SS |[|.- BFS5 5010000 


ech 





ls 





MOL] 
HOU DWORD PTR OS: [4634835], 80EF 
MOL DWORD PTR OS: C4630301, UEL 
MOL DWORD PTR OS: [443044], 1243 


OMORO FTA OS 





DR A] 


E Go Gale 


: [483843], 














(463640), ASCII "An error occured" 










HOU DWORD PTR DS 
JE 
CMP 16 


PUSH [us = BHSSH12C r'Crackmetsiz bu Detten", 


Destroyllindow 


CMP 
Ha 











44441HS5E . 5645 1H HOLI EAS, 

44441431 . BESS5 iff HOL EOS, 

444414534 . CIE if SHA EDs, 16 

464014397 . 66:BBOZ OR Of, Da 

Be461698 JC HFSS HCLD 

Hadhi HAH w ` b55:83F8 65 CHF Ha, 65 

mm4ninna ||. 75 ac JMz SHORT crackmel.Bmm4B818B2 
Hadhi HAE . 6H Öl PUSH 1 

Hal , Es F20106404 


BRdBlBBD ||. ES 46010060 





BB48iBBz || » 66183FS 66 Ee = 
4 " 
Stack 55: LBBISFeSCI-BGBOBIII- 
Vemos que esta vez se trata de un mensaje WM COMMAND. Pulsamos F8 hasta 
llegar a la comparación que comprueba este mensaje en la dirección 401081. 
OllyDbg - crackmel2.exe -|| x] 


File View Debug Plugins Options Window Help Tools BreakPoint-> 
e 44 X| Kill "ut and ali e 


CPU - main thread, module crackmel E 7 
& 55 


FUSH EEF 
aadeieec ||.  SBEC HOU EPP, ESP 
@G46162E |. 8170 ac 18616668) CHP 116 
aa4B1625 ||.- 75 37 HZ 
@a4eies? |. CFOS 48264660 oe) nou DWORD PTR OS: [4630487],4 
@edeiedi |}. Cres 3383648664 AD MOL DWORD PTR OS: [462822], ADEF 
aam4mimdp |}. Cres 30364866 DD MOU DWORD PTR DS: [463630], 6DEF 
aa4mimss ||. Cres 46364866 42| HOU DWORD PTR DS: [403646], 4242 
@G40165F ||. CFOS 40364866 oe) HOW DWORD PTR DS: [463640], ASCII "Bn error occured" 
aa4mime9 || - ES DEG1666a 
Ba4a1065E S270 ac 14 CHP 18 
Ba4aia?2]||.--75 an HZ 
gma4aimnr4 ||. |FF?S as PLISH blind = mBassmsisc ('Crackmetti2 bu Detten", 
aa4eier? |. | ES 22046604 Deztraoullindow 
aamamiarc||.-|E9 cBaimaaa 
a64a14351 S170 GC 11616886) CHF 
GI. 6FSS DEI opp NG 

5645 18 MOL EAR, 

5655 18 MOL EDH, 

CiEA 18 SHR ED, ia 

66:GB02 OR oO, DS 

~~ BFSS ncaimaaa 

ama4aimnna ||. :Ba3FS 65 CHP DN, EE 
aa4niana ||. ac HZ 
ama4a1nuns ||. Bi FUSH 1 
ama4a1una ||. FBa18maa 
66441480 ||. 40010066 


EEEE rare 66 | CNP ARES munme 
4 





Estudiemos más de cerca el controlador WM COMMAND: 
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OllyDbg - crackmel?.exe 





File View Debug Plugins Options Window Help Tools BreakPoint-> 
im 44 NI Kill bet ol: | as 


CPU - main thread, module crackmel 


2 ES CEB1BaGS 
> 8170 oC 11819906) CHP 
~~ BFSS B5Eniaaas Hz 
















H: be : 


8645 16 
GE 10 
5 . |C1ER 16 SHR EDX, 16 
eb4ei697 ||. |66:6E02 DR DN, DS 
aa4a1m52n || .~| aras nceiaaaa JNZ crackmel. 60481240 
aa4aiana ||. |66:83FS 65 CHP AX, 65 
aedciedd || 75 ac JM? SHORT crackmel.BB4B18B2 
Ba4aiane ||. |6n 61 PUSH 1 
amamimun WN... Es 48610004 


agadinps || > | 66:35FS 66 


CH 
= 
5 
I 
s 
m 
qm 


an4ninmpe || ..| 75 BC JHZ SHORT crackmel. 00401004 
jidi HBS . | 6A Hz PUSH 2 
AR4h1 HEA . TES Es£41 abe 


AB4AJABF || .~| E9 2E010060 
BE4H1604 |] > |e66:83F8 er 
DALL || «| 75 BC 
BE4H160H8 ||. | 6A 83 
BE4618CC ||. [ES 04616006 
64414601 | E9 12010066 
amaainpe || > | 66:83FS 68 
Dap OD || «| 5 BL 


CH 


HP Ha, br 


Er 
um 
un 
I 
a 









CH) 


MP Ax, 65 





Ela a ADE . 168 Bé PUSH 4 

a4 ADE . (ES C260100GA mum e ee 

44441HnE= l| ED DUHR LR 

jäid HES > | 66:83F8 69 CHF Ha, Di 

aadeiaec || | 75 GC Ju: SHORT erackmel.BB4B818Fh 

46441H6EE . |&H BS PUSH E = 
aaa] AFA . | ES Beal aaee CALL crackmel. 66481205 e 
4 k 


Vemos que mueve ARG.3 a EAX y EDX. Realiza un SHR (Shift Right) en el registro 
EDX por la cantidad de 10 (16d). Sigue la instrucción OR, que si no es cero, entonces 
saltaremos. Lo que basicamente comprueba es si el quinto bit de este argumento es cero o no. 
Esto es asi porque los bits superiores de EDX nos muestran el ID del origen que ha sido 
afectado. En este caso es un cero, asi que saltaremos por encima del código restante y 
regresaremos de nuestra devolución de llamada. 
OllyDbg - crackmelz.exe -|f| x 
File View Debug Plugins Options Window Help Tools BreakPoint-> 
Lam] dq] ||] €": HE] AE] $ 


CPU - main thread, module crackmel 


BE4E185S |[|.- BFS5 BbBlmaad 



































Baa4a8188E 5645 18 
6641631 5655 18 

SÉIER) C1ER 18 

aadis |}. &e:apna D 

EEEERGCEEE |.-.-aGrss ncasiaaaa ANS 

aa4miapa ||. | 66:83F2 65 

aa4aian4 || .~| 75 ac Hz 

aBa4aiaene ||. | 6A 81 

anamimnn || | ES 40016004 


HE4610B2 |] > [66:53FS 66 


CH 


HF 


BE4618BE || .-| 15 ac 
aadainBa3 ||. | 6A B2 
BE4610BH ||. | ES EG0106406 
BadaiBBF |). [ES 2E010006 
DATA |] > | 66:83F8 67 
Dao) || .«| 75 BC 
BAdalBCcA |]. | 6A B3 
maasimcc |f- | ES 04616606 
468441601 “| Ed 12010606 
BE461006 |] > | 66:53FS 65 
BE461008 |} .~| 75 BC 
padealapc |}. | 6A B4 
BH46160E |}. | ES Calama 
BadaiBES |f .~| ED mmaliaumuma 
BadalBES || > [66:53FS 69 
BadalBEC || .~| 75 ac 
BH4616EE ||. | 6A 65 
BE4616Fe |}. | ES Päpp 
BadaiBFS || .~-| ES FPSeseeee 
BadajAFA Il > [66:53FS 6A 


4 





Tm 
= 
ue 
E 


I 
MTI 
qm 
m 


CH 
En 
a 


I 
Ka 
m 
^] 


C E 
= 
O) 
Ss 
OI 


MP Hax, GS 


m 
E 
ue 
Ss 


CH "DECH 
=i CE 
TU wr 
E: 
I D 
Ka mix E, 
qm m 
Is du 


Pulsamos F9 y volvemos a parar en nuestro Breakpoint. Pulsamos F8 hasta llegar a la 
dirección 40102E y vemos que esta vez vamos a manejar mensajes de tipo WM, INITDIALOG. 
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44461435 
B44614=37 
Dal oa) 
SEHR 
44461455 
BE461H5F 
Dap Oe 
jägi l ot 
Dal 
Daopl cd 
DRapl Odd 
DAD 
6684416831 
Dap LD 
Dap DE 
668441491 


E 
p= 


Dor Ei Eon 
EZ, 


GGG E 
GIG) 

E Er 

Vu E icu dc | 

= = E 
T C CD PO SI 
T D D O O D 
T» Gi DJ 


Dap 1808 
44441 4AD 


OllyDbg - crackme12.exe 
File View Debug Plugins 


ex 44] X 


CPU - main thread, module crackmel | 






> | 11 





55 
SBEC 
S170 mc 16618688 


r5 Ze 
CABE 423544006 Ba 
CABE 325446648 AD 
CBE 344664 AD 
CBE 468440064 42 
CAE 4C384m088 Dp 
ES DER abe 
asri BC i 
rb BD 
EE d DG 
ES 32040006 
ES LCBBalBmBama 
sirD Bc 11616668 
Bras B5Bslmaan 
SB45 18 
OPE, 1H 
CIEH 18 
66: BED2 
aras HOI opp 
É6:53FS 65 
Bac 
HI 
F201 0464 
46415088 


Options 


Window Help Tools 


eje EE 


PUSH EBF 
MOL) 
CHF 


HOL 
HOL 
HOL 
HOL 


EEF, ESP 
118 


DWORD PTR OS 
DWORD PTR OS 
DWORD PTR OS 
DWORD PTR OS 
DWORD PTR DS 





=j 


ai 


: [4838948], 

: [4828338], ADEF 
: [482830], BDEP 
: [483848], 4242 
: [403040], 





BreakPninE- = 


ASCII "Hn error occured" 


hind = BHS4H12C ('Crackmeiiz bu Detten", 
Destroyllindow 


EDIT 
4 
Stack S85:L8B13FD141-B8BBBB118 


:BSFB 66 








Pulsamos F8 y vemos que no vamos coger el salto en la dirección 401035 sino que se va 
a ejecutar el código que viene a continuación. 


60401825 PE 37 HZ 
Cres 458364666 Gal MOL DWORD PTR DS: [403648], 0 


Cres 383846866 AD) NOW DWORD PTR OS: [46368387], BDERD 





m 





668401841 






660401046 Cres 3236846866 AD) MOL DWORD PTR OS: [46368307], BDERD 

60401655 Cres 463084666 42) MOL DWORD PIR Os: [463040], 42424242 

BadB1BSF ||. | CAS 4C3684666 mam MOL! DWORD PTR DS:E45384C1, ASCII "An error occured" 
AA461869 |] .~| ES DEN AGHA 

BH46186E || > +8370 BC 16 CMP 718 





En este Crackme, el siguiente código parace ser importante. Vemos unos cuantos 
integros que son almacenados en memoria, empezando por 403038. Veamos lo que contiene en 
la ventana dump. 


AA, 


Ej 


DAD 515) 
DAD 2pdn 
44443443 
BE46S858 
DAD 
5561515115] 
DAD 262 
DAD CH 
DAD 2 
DAD 2 
Badpnmsmas 
Badpmamasa 
Haad4nm2gsc|ma 66 BE 66/66 66 BB BB|........ 


4 d 


Vemos que antes de ejecutar esas líneas la dirección en memoria se ha inicializado en 
ceros. Pulsamos F8 para pasar por la primera instrucción MOV y parece que no está sucediendo 
nada, sin embargo se ha copiado un cero en la dirección 403048. Volviendo a pulsar FS 
podemos ver los efectos: 
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=e HE 66 BE 66/66 66 D BB3|........ y | 
4 d 


Vemos que OxDEAD ha sido copiado en memoria (en el orden little endian). 


Lo mismo ocurre si volvemos a pulsar F8 pero esta vez en la dirección 40303C: 





BE46S898) 66 66 66 D D 66 BB BB|........ 
DAD) 66 66 66 BE) D BB Be B3|........ sl 
d 


LN 


A continuación se copia el valor 42 cuatro veces en la dirección 403040. En la columna 
ASCII podemos ver el equivalente (BBBB). 






Address [Hex dump ISCH T 
TECHE FAE 
00403044 ul 


UA) 66 BE BE D D BB BB BB ........ 
BESESESS) BE 66 66 BE BE BB BB BB ........ 
OI HD BE BE BE BE 66 DB BB ........ 
BESIESE68) 66 66 66 66/66 66 BB BB ........ 
Oo BE HH BE BE BE BB D BB ........ 
bdo] BE mg 66 BE BE BB DB BB ........ 
OCI BG BE 66 66/66 BB D BB ........ 
BESESESE) BE HH AE BE D BB BB BB ........ 
BEIESESS| BE 66 66 BE BB BB BB DÉI ........ 


BESIESE90) 66 66 BE 66/66 66 D BB ........ 
BESESE95| 66 66 AE 66/66 66 BB BB|........ y | 
4 d 


Finalmente se copia el integro 403000 en la dirección 40304C, lo que según Olly puede 
ser algún código o dato que empieze en 403000. 


ASCII 





HE46S895| BH 66 66 66 66 BB BB /BB|........ y | 
4 d 


Llegados a la instrucción JMP, saltaremos y regresaremos para recibir el siguiente mensaje. 
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=la] x] 





OllyDbg - crackme12.exe 


File View Debug Plugins Options Window Help Tools BreakPoint-> 
ir 44 X| Hj bat RH UE) al oa | 


CPU - main thread, module crackmel JS x 


BH461646 Cres 303846866 AD) MOL DWORD PTR DS:r48383C01, BOEAD 
66441455 Cres 46834846866 42) MOL DWORD PTR DS: (463646), 42424242 
DHA LOF Cres 4CSe4688 ma MOL DWORD FTR DS: [4023640], 
SSES E9 DES1 8888 
BH46166E e3rL BC 18 

rS Bo 


444681472 
44441474 FFrS HG hind = BHS4H120 [*Crackmeti2 bu DO 
Baal ES 3284808 [lest roullindaow 
E9 Cola 
GOLD mc 11616688 
arab POL 


ASCII "An error occured" 


DaoplpcL 
Dap) ol 
Dap) DC 


DA DE 
668481091 
DAT B94 
DAD 
He461698 
DA LD 
DA 1 De 
DA 1 De 
DA LD 
DA LD 
DA 1662 
DA 1066 
DA LO 
DA LO 
DA LOF 
668441004 
DA LC 
DA LOCH 
DALL 
4684481601 
Haga] BOE 


5645 18 
OPE 18 
C1EA 18 
66: BED 


GEO ACH ean 
56:83F8 65 


ac 
B1 
Fanimaaa 
46618888 


5353F 66 
ac 


Ae 
E661 8888 
ZEB LOD 


GZ Ge 
HL. 


H3 
D468 1888 
1201446 


Lose 62 


MOLI EAs. 
MOLI EDs, 
SHR ED», 16 
OR Of, Da 


CHP AK, 65 
He 


PUSH 1 


CHP Ax, 66 


PUSH 2 


CAP Ha, Er 


PUSH 3 


CHP Ha, GS 


4 





Segün vayamos pulsando F9, aparecerá algun elemento nuevo. 


El siguiente mensaje es 135, o WM CTLCOLORBUTTON, lo que dibujará un botón en la 
ventana: 
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El siguiente es el botón número 2: 





Pulsaremos F9 alrededor de 35 veces hasta completar la ventana. 


7.14 Caso práctico 14: Auto-modificación del código 


Ahora que hemos visto como funciona la devolución de llamada del controlador de 
mensajes, intentemos crackear el Crackme12.exe. 


Hemos visto que solo hay tres mensajes en esta aplicación; 110 (INITDIALOG), 
IO(DESTROY WINDOW) y 111 (COMMAND). Todos los demás mensajes son ignorados. Ya 
hemos estudiado el código de “InitDialog”, el código de “destroy window” solo se llama para 
cerrar la aplicación, así que no nos pararemos más en el. Centremonos por lo tanto en la sección 
WM_COMMAND. 


Vamos a detener Olly en esa sección. Eliminaremos todos los Breakpoints antiguos y 


pongamos uno en la dirección 40108E, o después de la combinación compara/saltar para el ID 
111. 
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Pulsamos F9 y Olly se detiene en nuestro Breakpoint. 
la ventana principal de la aplicación: 


Volvemos a pulsar F9 y aparece 





[c] File View Debug Cem Options window ges TE BreakPoint- > 
ix A KI Se ee) oa + 


PUSH & 

Gethody LeHandleH 
HOU OWORO PTR OS: [403028], EAs 
PLISH A m| D-r — NII I 


SEN — lll Crackmez12 by Detten l x| 


PUSH 32H 
PUSH OWORO 


PUSH EA 





Running 


464010680 
66441462 
6684414687 
6640106 
6640106 
64441013 
66441615 
b646101A 
66401020 
668441425 
66441426 
a64410-E 
6640102 
6640102 
6684414635 
pad81B837 
66461641 
660401046 
668441455 
DAT DEE 
66401069 
6640106 
piada1ms 
Bedale 4 
BE4o1877 
BE48187C 
668441451 
66441455 


664081091 DPE 16 
b64a1694 ||. C1EA 16 
Hadagima? ||. 66:BB02 
664418938 BFSS ACBL eee 
BE4616A8 66: 83FS 65 
646164 ||. 
madainnme ||. B1 
padaoia8na3 ||. F201 0060 
66461 HAD 46618088 
GESEIS :SSFS 66 
piada1BíB5 B 
DAT DD 
adq HEA 
aqil HEF 
668441004 
44441 b 
4 


He phoda le = MULL 
C5040066 

25304066 
E 


26104006 
Be 


68 20630660 
FFSS 258304000 
ES SFa4aman 


54 
ES S9BBH4BmBB 
FISH EEF 


55 

SBEC MOLI EBP, ESF 
8170 mc 1661686806 CHF 

HS eq 


Cres 48364608 Du 
Cres 32304666 AD 
Cres 3C364666 AD 
Cres 4636846068 42 
Cres 4C03m84BBB8 BB 
ES DEG18ma 

S270 ac i8 

rb BD 

EE db D 

ES 32640868 

ES LCBalaman 

S170 ac 11610066 
AFSS Boel eee 
BE45 18 


Clear 


Bz 
Ee) 0006 
GEI 0606 
:B3FS 67 
Ar 
















Si ahora hacemos clic en el botón ‘1’, Olly se detendrá en el Breakpoint. Además 
podemos ver que el contenido de la variable ARG.3 es ‘65°: 
bayelasa ||. GES B5aianaa VT d rM 
. ` Da, 1H HO EAR 
66481491 BB55 1H MOL EDA 
Hal", CLEA 18 SHR EDs, 16 
BA461897 ||. 66:4BD02 OR; "baten D* 
madaiBaH||.- BFS5 ACH aaa JM? crackmel. 00481240 
pida TD 66: D2EO 65 CHF As, GE F 
86401604 Il 75 GC JMz SHORT crackme1. 68401062 
‘ A H 


Stack SS: [061 2Ebool-opppppeb 
ERR-TFFDDüama 


Add PETT ASCII SET Foo 

wedassdglaT CE 5 CETUT TP MM co AŞ aaisrBr4 || 77018763 RETURN to USERSZ. 77018709 = 
cogasas|20 EF 63 Es|Ts Lë 65 64| occured A | ee 

BB4asaiB|mB 54 72 r23|69 6E &r 2B|.Trvina Gel | 

Ba4mami8|74 6F 20 62/72 75 74 &5|to brute cl eee secs 

OO4A3020|66 EE 72 63/65 SE aa DÉI force”. 0013FE84 || 081-0854 NNMERO | 
mnadasazs|um a Aq ma GG op op an|..m..... Aa SFBSS 00461025 RETURN to crackmeil. BR461826B From <JNP.&KERNEL 
AB4OS030| op op oo op Ge op op B8|........ wy SeisFeec || OCBARBCD + 


4 AE + 


Podemos comprobar el ID del botón número ‘1’, abriendo la aplicación con “Resource 
Hacker” y verificar que coincide con el número 65 (101d). 
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File Edit 


View Action Help 





ERT Dialog 
ey 700 








Compile script | Hide Dialog | 


BOO DIALOG 0, O, 161, 95 

STYLE WS VISIBLE | WS CAPTION | 
CAPTION "CrackmeZiz by Detten" 
LANGUAGE LANG ENGLISH, SUBLANG ENGLISH US 


US SYSHENU 












FONT 10, "MS Sans Serif" 
i 
CONTROL "&àbout", 1, BUTTON, BS PUSHBUTTON | BS CENTER | W5 CHILD | WS VISIBLE | 
CONTROL "2", 102, BUTTON, BS PUSHBUTTON | BS CENTER | WS CHILD | WS VISIBLE | Wa! 
CONTROL "5", 106, BUTTON, BS PUSHBUTTON | BS CENTER | WS CHILD | Ws VISIBLE | Wa! 
CONTROL "4", 104, BUTTON, BS PUSHBUTTON | BS CENTER | WS CHILD | WS VISIBLE | US ' 
CONTROL "3", 103, BUTTON, Bo PUSHBUTTON | BS CENTER | WS CHILD | WS VISIBLE | Ws 
CONTROL "5", 105, BUTTON, BS PUSHBUTTON | BS CENTER | WS CHILD | WS VISIBLE | WS 
CONTROL "77, 107, BUTTON, BS PUSHBUTTON | BS CENTER | Ws CHILD | WS VISIBLE | WS. 
CONTROL "S". 106, BUTTON, BS PUSHBUTTON | BS CENTER | WS CHILD | WS VISIBLE | WS. 
CONTROL "S". 109, BUTTON, BS PUSHBUTTON | BS CENTER | WS CHILD | WS VISIBLE | WS. 
CONTROL "B", 111, BUTTON, BS PUSHBUTTON | BS CENTER | WS CHILD | WS VISIBLE | WS 
CONTROL "F", 115, BUTTON, BS PUSHBUTTON | BS CENTER | WS CHILD | WS VISIBLE | WS. 
CONTROL "D", 113, BUTTON, BS PUSHBUTTON | BS CENTER | WS CHILD | WS VISIBLE | US 
CONTROL "C". 112, BUTTON, BS PUSHBUTTOM | BS CENTER | WS CHILD | WS VISIBLE | WS. 
CONTROL "A", 110, BUTTON, BS PUSHBUTTON | BS CENTER | WS CHILD | Ws VISIBLE | Us 
CONTROL "E", 114, BUTTON, ES PUSHBUTTON | BS CENTER | WS CHILD | WS VISIBLE | WS 
CONTROL "Ho Access", 3, EDIT, ES CENTER | ES UPPERCASE | Wo CHILD | US VISIBLE | 
CONTROL "Clear", 2, BUTTON, BS PUSHBUTTON | BS CENTER | WS CHILD | WS VISIBLE | W 
CONTROL "Framel", 116, STATIC, 55 ETCHEDFRAME | WS CHILD | WS VISIBLE, 2, 8, Dä, 
CONTROL "Framez", 117, STATIC, 35 ETCHEDFRAME | WS CHILD | US VISIBLE, oY, O, Dä, 
} 
‘ E 
Pulsamos F8 y vamos pasando línea tras línea hasta llegar a la primera instrucción de 
comparación en la dirección 4010A0. Aquí es donde se compara el ID que se ha enviado con el 
mensaje, con el ID inmodificable de la aplicación: 
OllyDbg - crackmel2.exe - [CPU - main thread, module crackmel | .|m E 
[€] File View — — BE Window Help Tools EreakPoint-=> -|| x 






GE |) > S17D BC 11818888 CHE IBRB.E1 
.- BFES BSai e888 | 
HOL EB 







.- BFS5 ncmiaaan GET 
. &6:83F8 65 AK eE a l = 





ai PUSH 1 ` 
SE Es Feaigaaq i 
Be4elann ||.» ES a9919p06 el DO 
0461B2 || > 66:83F8 66 M D ES 3 
Dua || -+ 75 BC srackme1 
Be4G1GB2 ||. ep B2 

BEe48 LEBH ES E6digBag 

ga4etuEF || .+ ES 2E910009 

posters || > eé:ssFS 67 

Be4eluce ||. 75 BC 

Bü4BIBCH ||. ep B3 

E48 ECC ES 04010060 

memini ||. Es 1Co16008 

BEMG1G06 || > 66:33F8 68 

p0481804 || .- 75 BC 

pa4B180c ||. ep B4 

Gang ES C2010006 

pe4ersES ||.- ES BABIABAS 

GE4G1GES || > 66:23F2 69 

GE4B1GEC ||.» 75 BC 

BE4G1GEE ||. ep 85 

Bed) 1GFG ES Booioapg 

BO481GF5 ||.» ES ESgpooop 

ca4etuER || > 66:83F2 6A 

GE4G1GFE || i+ 75 BC 

60401168 ep ge 

Bede 182 Es 96019800 

Be4biiGy ||. ES Eepponop 

Doug IC || > 66:33F8 6B 

Be481118 ||.- 75 BC 

Be4et112 ||. ep Br 

Da 114 ES scaiageq 

60401119 ||.» ES D4gageoa 

BE4G111E :53F8 GC 

Be4ellz2 ||.» 75 BC 

Be4B1124 ||. 6A B8 

BB481126 ES rThaismad 

00401128 ||: ES Craaaaaa 

posaliso ||* 66:83F8 6D 
















































2645 16 Ski 

SES5 16 MOLI ED, mi 
CiEA 16 SHR EDs, 10 

66: BBDZ OR DN, DN 


a 


Resumiendo, esta sección lo que hace es compara el ID con todos los posibles ID’s y 
cuando encuentra una coincidencia, llamará a una sección en el código que controlará ese botón 
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en particular. Vemos también que justo antes del CALL se empuja un valor a la pila; 1 para 
0x65, 2 para 0x66, etc. Ya que todos los CALL’s estan llamando al mismo lugar, el código en 
esa sección va a diferenciar el botón que ha sido pulsado del valor que está en la pila; 1 para el 
botón 1, 2 para el botón 2, etc. 


Vamos pasando línea por línea hasta llegar al CALL, donde pulsaremos F7 para 
situarnos en la siguiente sección de código: 














OllyDbg - crackmel2.exe - [CPU - main thread, module crackme | l = |a | x 
[c] File View Debug Plugins Options ‘Window Help Tools BreakPoint-> z E | x 
5 44 X] |) HE] lb ali a EIE 
Bede 20 EE: PUSH EBP ^ 





DAD) 206 
DAD) 206 
BE41203 
aagal 2AF 
66461285 
agii ZEA 
agii ZEE 
DAD) 28 
DHA) 26 
DHA) 22 
aqil CE 


aa4aizpa || > 


66461204 
66461206 
66461200 
4644120F 
Q64412E1 
q64412E3 


aa4aizE8 || > 


Dal ZE 
604012EE 
Dal ZE 
Dal ZE 
Dal ZE 


oaap12Ep || > 


40441301 
60401303 
60401305 
60401306 
86461580 


Ba481312 || > 


46461316 
Q64413185 
GSEISAKEAK 
66461316 
66461310 
aa64a1=31F 


Ba481224 || > 


46461328 
4646132A 
DHA) 221 
BpadadiszE 
6640133 
6646133 

668461330 


NO vn 
Ka 


SËTZ 
49481345 


4 


jur 


SBEC 
BB 
GEO 46364088 


SB1D 3C384man 
Al 38364608 
smrD as gl 


r5 16 
S1Ci 4BB5mana 
BFAFOS 


33C1 
ES Lelong 
CRT 63 Az 


fune e 

S1E9 33020060 
£EDE 14 

BSCS 


2308 
ES EF 
ODC 8S AS 


r5 GF 

BS 520850600 
BBC? 16 

3308 

ES Eau 
eHrD HS B4 

r5 BF 

2363 

SIEB 22121166 


3318 
ES Dono 
EE BS 


BSC1 

ES CaBandan 
smrD as BÉ 

r5 GF 

33C1 

2308 

B1Ci 73585488 
ES HES 
CRT ss Br 


r5 12 
SIE? FSSFeacee 
330% 


E dé d d dn 








MOL! EBP, ESP 
PLUSHAD 


MOL ECs, DWORD FIR OS: [463046] 
MOL EES PTR DS: [4023030] 








MOLI EAs, OWORD PTR OS: [463038] 
CHF 1 


HDD ECs, 54E 
IMUL EB», EAR 
ADR 


EAH, EL A 
CHP 





JHE 

SUB ECH, 233 
IHUL EEN, EBs, 14 
ADO EC}, EAX 

AND EBX, EAX 









ECH, 25FF5 
EEK, ECX 





sie 


Vemos que estamos accediendo al mismo lugar en la memoria, al que accedimos en la 
sección de WM INITDIALOG (403038). Miremos lo que hay en esa dirección en la ventana 


dump. 





DAD 20D4p 
DAD 2D4C 
DO 20DED 
DD 202 
DAD 2DEGP 
DAD 
aRAdasara 
DAD 20 e 
DAD 2028 
EIST EISES 
555155515] 
aA4dasa3s 
DAD 
DD 


Aqui esta nuestro DEAD, dos veces, los 0x42’s y la dirección 403000. 


Pulsamos F8 y vemos como los 42’s se mueven dentro de ECX, y los dos OxDEAD’s dentro de 
EBX y EAX: 
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42424242 
GonnoGon 
H EIBBEDERD 


EEF BBi3FEÉd 
SI BB4Bi1B?2B crackmel.BB4Bl1B2B 
EDI &mal1sFBDS 


EIF 66461206 crackmel.tBada1208 






A continuación se realizan una serie de comparaciones, para verificar que botón hemos 
pulsado basado en el valor que se empuja en la pila. Aquí, SS:[EBP+8] está accediendo 
directamente al valor empujado. Ya que hicimos clic en el primer botón vamos a ejecutar el 
primer conjunto de instrucciones: 


OllyDbg - crackmel2.exe - [CPU - main thread, module crackme1] 
[c] File View Debug Plugins Options Window Help Tools  BreakPoint- Z [& | x] 





Paused ` | Gadd] x] ej] es EB all a 


BE4612A5 [ps 55 








































pa4812ns || . E = 
44012483 . 66 
66046012899 . GDBD 463564088 
Baghi 2AF =- B10 33404664 OS: 146343 
Ha461265 . Hi 33364066 [1I 146035 
mngdaizBH 60 8S Bi 
HAT ZE FS 14 
SSES , 31501 46650008 
664441206 .  HFHFLDS 
664441209 m SIE 
Ha4612CB ¿Y ES 17616666 
6448104 > DD BE Ae 
66441204 a TS 12 JNE 
6684681206 , SIE 336020664 SUB ECR, 233 
66441005 . EBDE 14 INUL EBs, EBS, 14 
Be46120F » BSCS HDD ECs, EAR 
66401251 » 2308 ARO EBS, EAS 
Hal ZE? aw ES FREER 
Egal ZE > De B3 H3 CHF 3 
HAL ZEC 42e FS BF ANS 
Hal 2EE » D 52564666 HDD EAR, See 
Ha4h12F 3 . BCS 16 INUL EC, ECH, 16 
BB4BisF6 ||. 3308 — ` ROR EENEG 
Lo primero que haremos es añadir 0x54B a ECX (42424242) lo que nos da como 
resultado 4242478D. Seguimos multiplicando EAX por EBX (OxDEAD veces por OxDEAD) lo 
que nos da como resultado CIBOSOEO9. Y finalmente aplicamos XOR entre el registro ECX y el 
registro EAX para saltar a la dirección 4013E7. Pasamos el salto y llegamos hasta: 
OllyDbg - crackme12.exe - [CPU - main thread, module crackme1] = |= | x] 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> = [a] xj 
44 X| KU ban Aal ali a 
















BFAFOS 
EESUS 

Saro As BE 

r5 BD 

35 55556560 
S51EB 517135566 
EB BC 

A | gari B3 BF 

viet Ch Dë 


66448130 IMUL EBS, ECK 
66441538 
64441305 
66441300 
HA) SCE 
66441303 
66461309 
66441306 
664413DF 
66401361 
664613E3 
HAT ZEE 


3 
= 
& 





















EHAX,55555 
EEs 


HE 






EHS, EBS 
EE, ECR 
ECs, ERA 










BSCS 


EEE} © FFP SS 44584088 DWORD PTR DS: [463644] 
BE4615E0 ||. 3 33304800 DWORD PIR OS: (4858331, EAs 
B64B13F2 ||. 2910 3C304060 DWORD PIR DS:L48383C1,EB5 
padaisFS8 ||. S980 46304066 DWORD PIR OS: 14436468], ECS 
BE4G1SFE ||. 61 POPAD 

BA4H1SFF |. C3 LEANE 

6461466 IL, Ce mns 4 

6481463 | $ 55 PUSH EBP 

Be46i4e4 | . BEC MOL EBP,ESP 

HA) opge, | . Se PUSH Es 

Be4h14e7 | e EB SF JMP 


Vemos que coincide con el final del método. Si miramos atrás veremos que todos los 
botones hacen lo mismo; afaden un valor, aplican XOR con otro valor y saltan hasta el final. 
Solo se diferencian en los valores. Y llegados al final, incrementan el contenido de la memoria 
en la dirección 403044 (que se inició en cero), por lo que podemos suponer que se trata de una 
especie de contador. Después almacenan los nuevos valores de ECX, EBX y EAX de vuelta en 
la misma memoria de donde han sido leidos. De regreso, volvemos a estar en la función 
principal: 
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OllyDbg - crackme12.exe - [CPU - main thread, module crackmel] | zi | = |x| 











[c] File View Debug Plugins Options Window Help Tools BreakPoint-> - [2| >| 
Paued ` | al dd] x] ej] wird Ej al a m? 
66401874 FE ek ma PUSH hind = BITHE ("Crackme#l2 by Detten", ,class="#32778" | ES | 





664441077 
msg 
46441431 
6684601455 


66461471 : 
6401094 =- C1EA 16 

maa] ua? , 66: HEDA 
66846814894 Vw aras ACK mama 
6646144 = 66:85F8 65 
6646814044 aw FS GC 

66461 HAE . BH H1 
66401443 » ES Feelaeae 
66461 480 CES 42618008 
Bede 1 ABS » | 66:55 

HAL ABE | r5 HE 
HAL GD =- | 68 Hz 
Gage ||. | Es Esoroaos 


. ES 32640460 
¿Y ED CBR1S888 
+ 8170 BC 11010660 
ve AFS DES) oo 


Destroyllindaw 








Para saltar a la dirección 4011F2: 






















OllyDbg - crackmel?.exe - [CPU - main thread, module crackme1] E = E E: 

[c] File View Debug Plugins Options Window Help Tools BreakPoint-> CIE: 
tml dq] sl »[n| wll vu al a 

pedal FS ES s220 45304006 83) CMP DWORD PTR DS: [4030451,3 E 


BB4BllF9 20 

Kee e330 44564888 GA) CHP OWORO PTR DS: (4658441, HA 
SE ve TE 3D 

Bmg4nissg4 |j. ES 430206006 


mM 








amgdal289 |]. Gë B6=3040806 PUSH ASCII "An error occured" 
amdalzaeE ||. FFrS As PUSH 

46441211 . ES EDS1 Op 

BE481216 ||. Cres 4456846668 Be) MOU DWORD PTR OS: [4630844], 6 

amgdaiz28 |). FRES 453046060 IHC DWORD PTR OS: [4623043] 








badbi226 ||.» EB 13 


DDADl 220 2 65 113040665 Tent = SE to bruteforce?' 

aadai220 . &H Dä Contr olID = 

A461 22F =- FFS Hs hind = = Gë soon ("Crackme#i2 bu Derttent,classczf #32778" 1 
Aadal2s2 . ES 2920066 CALL SetDlaltemTestH 

aadail2sr . Cres 443564688 Bal MOL DWORD PTR OS: [463644],06 


Bmgjdagiz41 || = EB 83 


amgjdalz243 ||» ES maaacasans MOL EAS, H 


amdal248 ||. C9 LEAVE 
Bmdg4a81249 |]. Ce 1668 RETA 18 
BE48124C || > ES 61006606 MOL EA, 1 
Dap) 251 IE LEALIE 
amgdalszb2 |t. Ce 1060 RETA 18 


A continuación comparamos la dirección 403048 (que es cero) con tres, y despues 
comparamos nuestro contador en la dirección 403044 con Ox0A. Este indica que 403044 
contiene un contador que cuenta hasta OxOA. Después saltamos si no es igual a Ox0A, 
señalándonos que vamos iterar por el loop 10 veces antes de salir. Si nos fijamos, podemos ver 
en la instrucción JMP de la dirección 4011F9 que apunta hacia un mensaje the fuerza bruta. 
Como la dirección 403048 tiene algún tipo de contador, si está por encima de tres, obtendremos 
el siguiente mensaje: 





OllyDbg - crackmel2.exe - [CPU - main thread, module crackmeil | 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> -|8] x 











wi 





Sei 44 X| kill bat x Te) a 


a 2330 AAA 63 CHP DWORD PTR OS: [463648], 5 


a 





agadaiirFz 
agaa11ir9 






BE4G11FB |l. 8330 44304888 BA) CRP OWORO PTR OS: (4636441, Dn 

66461282 |] .~ 75 3D 

aa4o1284 ||. EB 43620088 

BE4612689 ||. 6S BASADA PUSH ASCII "An error occured" 

BG4G126HE ||. FFr5 m2 PUSH 

Bpaag1211 . ES EDR BREE | | 
BadgBi2ió |. CrB5 44584668 Be) MOL DWORD PTR DS: r4838441, 8 

BA4h1228 ||. FFOS 465846868 IHC OWORO PTR DS: [4483645] 


Ba4ai226 ||... EB 19 
00401228 || > 68 11304000 PUSH 
gadaizen ||. 6A as PUSH 3 
pasblzaF ||. FF7S op PUSH 
Ba4aizs2 ||. ES 39620000 CRLL 

Ba4mizs7 ||. Cras 44304000 ea MOU DWORD PTR DS:[483844],8 





hind = BEIFHBER ["Ecackmertl2 bu Detten",clas=s="+32770" 1 
SetOlaltemTextaA 


Text = 
I. 2> 





Continuamos ejecutando el programa y ahora hacemos clic en el botón ‘2’. Nos 
detenemos en nuestro Breakpoint: 
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OllyDbg - crackmel2.exe - [CPU - main thread, module crackme1] 
[e] Fie view Debug Plugins Options Window Help Tools BreakPoint-> 


i| dd X| KI 


. ES 32646664 
.v ES CRA1BBBA 
> 8170 ac 11616886) CHF 
. DES BEmniaasaa AN 


FEET 
a 














Dest royllindoaw 





aaa RD aia CORDE DERE IL RD P DI CD DT ER 
= N D 00 E TM 1D 00 05 PM 0 CO CT E E O E A 






5B45 18 
D J SBSS 1H 
D a CiEA if S 
D a , be: BBOS OR OF, Da 
Beámimen ||.- mFBE aceieeae INS crackmel.BB4B0124C 
E H B6B:53FS 65 Ha, 65 
664614A e T5 BD JMz SHORT crackmel.BB4Bl18E2 
EE H GH Hi PUSH 1 
D A ES 4601 4444 
D B BE:SSFE 66 CHP Ax, 66 
0040156 75 GC uc SHORT crackmel. 08481804 
D E 
SIS E 
E B 
HE E 
D C 
E C 
D Cc 


GH Dä PUSH 2 
ES 2ER1 BREE 
BE:SSFe 6r CAP Ha, Er 
75 GC JMz SHORT crackmel. 60481506 
GH BH3 PUSH = 
4444140 ES 1006164644 
46441406 BB:I53FS 66 CHP Da, 62 
66461604 75 B JMZ SHORT erackmel. (8401068 
44441 HOC GH De PUSH 4 
4444041HE= ES BABAR 
jadhi HES 6: GEO 6% CHF Da, 69 
AA4ALGEC 75 GC Ju: SHORT crackmel.G8G4818Fn 
jadhi HEE GH DE PLUSH 5 
iud 1 ARA Fo Bümiimmaaman Toll =rarbmed Fada PO 
4 k 


ARG.3, y de regreso EAX y EDX, van a ser iguales al ID del botón numero 2, o 0x60: 





Stack SS:[malsFB28B]-amnamadges 
EHR-BaBBadmBaSS 


Lo que significa que ejecutaremos el código asociado al botón 2: 










amádmnisnp Il, ES 40010006 JMP crackmel. 664611F2 
Ha4+61 062 A 66:83F8 66 LHP AH, DÉI 
“PE BD nc SHORT crackmel. 00481804 
4464401 HBS . | 6A Hz PUSH 2 
HH46106A . | ES EG 
paq AEF wel E9 ZEIL 


Si saltamos dentro del CALL en 4010BA, haremos lo mismo que anteriormente, solo que ahora: 
1. La memoria no va contener OXDEAD ni 42424242, sino que tendrá valores ajustados. 


2. Como hizimos clic en el botón ‘2’, vamos a ejecutar el código en 4012D6 que realizará 
una SUB ECX, 233 y IMUL EBX, EBX, 14 etc. 
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06481205 
Bede ZAE 
66481208 
aB4BizH3 
aB4B1zhF 
6040125 
aa4aizBh 
GüB4B1zBE 
ag4a1izca 
aB4B812C6 
aa4gdizco 
GGAp)2CH 
60481206 
60481204 
664812D6 
664812DC 
604812DF 
6a4812E1 
604012E3 
eda ZES 
GüB4B1zEC 
GB4B12EE 
aBa4BizFa 
ade Fé 
GGAp) 2 
aB4BizFD 
60481301 
00401303 
AAA SAS 
4 


55 
SBEC 


eu 

SBED 43845088 
SB10 30304066 
Al 232304000 
sero ms nmi 


fo 18 

S1C1 4Bmbana 
BFAFOS 

3301 

ES 116010600 
Saro Bo be 


rb 12 
21E9 330248044 





¿305 

E29 EE 
GC 0S BS 
ro BF 

BS 22050000 
BBCY 16 
3308 


ES Eng 
OD 8S B4 
rb BF 


2303 
AIFA 2212114 


LL 








OllyDbg - crackmel?.exe - [CPU - main thread, module crackmel] 
[e] Fie View Debug Plugins Options Window Help Tools BreakPoint-> 


i| 44) X 


ea E | > 
PUSH EBP 





MOL EPP, ESP 

PUSHAD 

MOL ECs, OWORO PTR DS: [462046] 
HOU EB, OWORO PTR OS: [46363C] 
HOL 
CHF 


E 


Ha, OWORO PTR OS: [403038] 













Ne 

ADD ECH, 54B 
IMUL EEX, EAX 
“OR EAX, ËCH 


JMP 
CMP 


JNE 

SUB EC, 233 
IMUL EBX, EBX, 14 
HDD ECA, EAS 

AND EBs, EA” 


CHF 


JME 
ADD E, 532 
IMUL ECH, ËCH, 16 


ADR 
CHF 


AHD EAK, EES 
SIIR FRE. 111222 


Ba, EAS 





Wi 


Y llegamos al final de la rutina: 


s 


E HE E E 





OllyDbg - crackmel?.exe - [CPU - main thread, module crackmel | 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 


Dap) SCE 
468441303 
468441309 
Dap) 20 
Dap) 20 
Be4615E1 
Hadhi SES 
Egi SES 


BB4Bl3FE 
nagil SFF 
DAD TL Ap 
44401443 
Hagi i Aa 
Hathi Ae 
DAD TL 487 
46401409 
DAT A0 
DAD TL Ab 
DAD TL At 
4684481460 
jatii AE 
DAT Al 
6401413 
DAT AT 4 
Fil. E 415, 
d 


ex dd] X 


a5 55556560 
S1EB 5171355400 
EB HL 


DCD 0S BF 

ro B 

BSCS 

4309 

BSCS 

FFeS 44564808 
AS 32304000 


S910 30304006 
SE 46364008 


Ca 
Ce Dapp 
55 


2 
BO 43 mm 


> | 11 


eje vU d 


EHa, 55355 
EEs 


EHS, EBA 
EBS, EC 
EL a: EAA 
DWORD PTR OS: [46853444] 
DWORD PTR OS: [4683433], EAS 
DWORD PTR OS: [46030603C], EB% 
DWORD PTR OS: [485444], ECA 
POPAD 
LEAWE 


RETH 4 

PUSH EBP 
MOL EBP, ESP 
PUSH Ep: 


HOP 

MOP 

DE 42 

DE SE 

DE B2 

ASCII "EC", 
DB 1 

DE $3 

DE B2 

IR 83 


Incrementamos el contador en 403044, movemos las 
localidad en la memoria y regresamos a nuestro loop principal. 


CHAR 'B' 
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variables nuevas devuelta a su 


OllyDbg - crackmel2.exe - [CPU - main thread, module crackmel | 





[e] Fie view Debug Plugins Options BreakPoint- = 


Ex 44 X| |l >: 


Window Help Tools 
sp HU) dl 




















































Sal .- -E3 2EG16666 = 
acd || > [66:2823FS 67 CHP DN, ET 
ace |[.-|75 60 uc SHORT crackmel.B884818D6 

Adeieca ||. | 6A a3 PUSH 3 IS 

añ4aiece ||. | ES D46016666 

an4mimpi || .-| E9 100106066 

ae4ai1mnp& || > | ée:esra 68 CHP DN, Be 

Aa64a16DA || .~| 75 ac JHZ SHORT crackmel.B884B18ES 

aeadeaieoc || . | 6a as FUSH 4 

amamispnEe ||. | ES C2010000 

añdaiBEs || | Ea 60010006 

ae4aimEsS || > | 66:83F8 69 CMP Ax, 69 

a6dA1BEC || +| 75 ac JNZ SHORT crackmel.064815FA 

Ba4miaEE ||. | 6A ee PUSH E 

amamisra ||. | ES B6610060 

anamimrs || | Ed Eoooooogp 

AG461eFA || > | 66:S3F8 6A CHP Ax, 6A 

AG46H16FE || .«| 75 DC HZ 

aadaiisa ||. | 6A Ge FUSH & 

añaaii62 ||. | ES SEB10060 

aedeiie?r || «| Ed E&mmanan 

ae4811mc || > | 66:83F8 6B CHP Ax, 6E 

aa4miiia || .«| 75 GC JNZ SHORT crackmel.6046111E 

aa4miiiz ||. |6n Gs FUSH 7 

añaaii14 ||. | ES 8ca1anaa 

an4mniiio9 || .-| ES Ddmmanan 

aB4miii1E ||» [66:83F2 6c CHP DN, GC 

aedeiize ||.«| 75 ØC uc SHORT crackmel. 00401130 -| 

ARAL 1 Ae AA AS PIISH S 

4 b 





[e] File View Debug Plugins Options 





a 


Ka 


ex 44) X 
A — a3; CHF OWORO PTR DS:[4623648],= 
Ce BA) CHP DWORD PTR DS:L48350441, BA 





| Il 


Window Help Tools 


eje DE dl > 





BreakPoint-> 










F [inna lag [x 


E ES 435620084 
Ade 6S HESE4h0H PUSH ASCII "An error occurred" mm] 
Ade FFrS D PUSH 
66441211 ES ED61 46H 
6R44B1215 


Dap 228 


Cres 44304666 ama 
FFAS 45364888 






MOL DWORD PTR DS:L4838441, 6 
INC DWORD PTR DOS: [4685445] 
























Aa64A1228 ~ EB 19 

Hal 228 68 11304660 FLUSH Test = "Trying to bruteforce?" 
4684481220 6A Az PUSH 3 ControlID = 3 

Bg4ai2sF ||. FPS 68 PUSH hind = BABSBARE ("'Crackmeti2 by D 
andsissz ||. ES esazanan CALL SetOlgltemTextaA 

AG461227 ||. CreS 443646668 aa MOL DWORD PTR OS: [C4063044], 6 

Ba4s8i241 || > EB 69 JHF 

A401243 f} BS mamaanaa HON EAR, DG 

abdalz4s ||. cao LEALE 

Abdeizd9 ||. Ce 1686 RETA 16 

andaiz4c |] > ES 61660090 MOL EAX, 1 

Aedeiesi ||. ca LEAWE 

Abdaiese C2 1600 18 

A64A1255 55 PUSH EBP 

A04A1256 SBEC MOL EBF, ESF 

KÉIS S270 ac ia CHP 18 

Bpadmi25c ||... r5 ac 

A04A125E 6A al PUSH 1 Result = 1 = 
Dé) AB EE aE Di FISH TARA. 17 hllnd = ARASARAR I'Frarckmetli* hu FI 
4 | 


Aquí comparamos 403048 (que sigue siendo cero) y saltamos al mensaje de fuerza bruta 


si es mayor que tres. También comparamos 403044 con OA y saltamos al código de error si 
nuestro ID es mayor. Después regresamos de nuestro loop principal al loop de la ventana a la 
espera que hagamos algo. 


Ahora que sabemos como funciona la aplicación, vamos a parchearla. Cada vez que 
comprobamos la dirección 403048 para ver si saltamos al mensaje de fuerza bruta, los 
contenidos eran cero y el salto nunca se tomaba. No obstante, la comparación en la dirección 
4011FB, compara el contador que hay en la dirección 403044 y saltará despues de llegar a 
OxOA. También sabemos que cada vez que pasamos por el loop, el contenido de 403044 se 
incrementa, por lo que podemos sospechar que este contador cuenta el námero de botones que 
hemos pulsado. 
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OllyDbg - crackmel?.exe - [CPU - main thread, module crackmel | 2 | = | x 
[e] File View Debug Plugins Options Window Help Tools BreakPoint-> EE 
44] Kli Mee] EE] | a : 
Highl SCE » ab SESS RSH ADR EAR, 55555 = 
664681303 =- GlEB 51r355%60 SUB EBs 
664681309 EB o 
Dao) =06 Saro As BF CHF DE 
He46130F ro De 
HA4H15E1 HSCS HDD EHxX,EBZ 
HA4H1SE5 , BH3D ADO EBs, ECR 
HA4H1SE5 , SCE ADO ECs, EAR 
Dol SET > FFAS 443564008 INC OWORO PTR OS: [463444 ] El 
668441=3ED ,. AS 3283040604 HOW DOUD PTR OS: [4683438], EH? 
Biaamnia3Fa . 29310 SCsh4hnh Hou DWORD PTR DS:r48383C1, EBS 
HA4H1SF5 29680 44304006 MOL OWORO PIR OS: (4636447, EC 
6413 FE El POPO) 
Dal SFF a ES LEHUE 
660401444 , C2 Happ d 
6414843 | S 55 PUSH EBF 
66401444 » SBEC MOL EPP, ESF 
664401446 ,4 5A PUSH EAR 
[maa] Ae « EB SF 
66401449 ag HOP 
SSES (ele ag HOP 
Dal ab 42 DB 42 CHAR "E" 
664481446 SE DB SB 
668441440 Baz DB m2 
Dal 4HE ,. 35 BD 43 Be ASCII "SIC", 6 
He4h1412 DI [B ol 
AB4h1415 oo DB 59 


44401414 GE DB B2 sl 
Filii 1 3. 15 AS IR AS 
4 


Esta sección parace ser sospechoso, asi que pararemos a estudiarlo con más 
profundidad. Sabemos que llegamos a este código haciendo clic en al menos OxOA (10) botones. 
Pongamos pues un Breakpoint en 401204 y borramos todos los demás. Reiniciamos la 
aplicación. 










OllyDbg - crackmelz.exe 






File View Debug Plugins Options Window Help Tools BreakPoint-> 
ir 44 cd kill ae He ee 


CPU - main thread, module crackme1 | - [O] x 


Es 43620088 
63 HESE4HRH 





^i 
















6441243 PUSH ASCII "An error occurred" 







4640126E FFr5 a8 PLISH 
añdei211 |. ES EDai1maaaG CALL 

añdeizié8 |. CreS 44264600 ma HOW DWORD PTR OS: [40436844], 6 
amamisza ||. FReS 48384008 INC DWORD PTR OS: [463648] 


















Dap) 226 || .~ EB 19 
aadpl2szz2o [+ 625 11304060 PUSH 
BadeglizzD |}. 6A as PUSH 3 









Test = "Trying to bruteforcer” 
ControlIO - 3 









aa4sizs2F ||. FF75 88 FUSH hlind = Dëppe, ('Crackmeiiz by D 
amasmizss |}. ES S902000 SetOlgltemTextA 

amasmizary |. CPeS 4436896668 ag noU DWORD PTR 0S: [403644], 6 

Ba4giz4i1 || > EB 69 

amidais42 | BS manaaaaa MOL EAH, G 

aagelzas ||. Co LERUE 

aadai249 ||. Ce 1600 RETH 16 

amasizac ||» Es 610666980 MOL EAH, 1 

Aadeizsi ||. ca LEALE 

aadai252 IL ce 1600 RETH 16 

AAadeizsS |r. ES PUSH EEF 

AA4e1i256 |. £BEC MOL EPP, ESP 

AAa4ei258 ||. S370 ac i8 CHE 18 

aa4ai25c ||. 75 ac JZ 

Ba4anizsE ||. en al PUSH 1 Result = 1 

Ba4gizem ||. FF7YS as [tina = BBBCOBAS ["Crackmer1iz2 by D 
añdeiz262 |. ES 526268690 EndDialog 





Dap) 268 || .~ EB 32 
BE46126H |} > GL BC 110160606 
E ro 2H 





aedaizrs ||. 8845 18 
Gadair ||. 8855 18 MOL ED, 
Ba4o1z79 C1ER 18 SHR EDW.i8 


| së 
Después de hacer clic 10 veces, la aplicación se detiene en nuestro Breakpoint. Vemos 
que hay un CALL hacia la dirección 40144C. Pulsamos F7 y miramos lo que hace: 
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OllyDbg - crackmel?.exe 





Fie View Debug Plugins Options Window Help Tools BreakPoint-> 
eddi X. KI + ISO o 












BA4h1440 rz PUSH EAX 










He4h1440 : 54304044 pOldProtest = crackmel.tm"minmsms 
4441452 : Ha HewProtect = PAGE_RERDWRITE 
4441454 , 65 Feel bebe Size = 1F4 (Eug, 

644414539 , 65 Hd laan Address = crackmel,. be461487 
DAT AE , ES GERD WirtualProtect 

64441463 , Al 32344006 EAs, OWORO PTR OS: (463838) 

644401465 , 3185 87144686 OWORO PTR DS: C4614671], EAS 

64440146E . SHED 4r144604 BYTE PTR OS: [4614607], 52 

644414r5 Oe YE 18 

644414r7 , Al =3cC304060 EAs, DWORD PTR OS: C48S83C0) 

DAT At , 2165 36144006 OWORO PTR DS: C4614361, EA 

64441432 , Al 46564668 EAs, DWORD PTR OS: [463646] 

64441437 31465 23F144006 OWORO PTR DS: EA8143F 1, EAS 

64441430 «^ EB H6 

Eam 143F 2 2321065 61144000 OWORO PTR OS: C4614671, EAS 

64441495 > 68 53444004 PUSH pOldProtect = crackmel, 00403056 
64441498 . 5H 1H PUSH 1H HewProtect = PAGE_EXECUTE 
644414390 . 68 F4016664 PUSH 1F4 Size = 1F4 (Ep, 

644414A1 . 65 4r144666 PUSH ET Address = crackmel. 6461447 
6404401465 . Es 2 CALL WirtualProtect 

DAT 4AE LEE crackmel. 04012439 

eeadeidac |L. cs RETH 

DAT AO) CC 





OWORO PTR OS: C2&8.USERS2.0estroylin USERS. Destroyllindow 
OWORO PTR OS: CA&USERS2.0talogBoxk LUSER3SZ.DialoaBosFaramH 
OWORO PTR OS: EEZERLISERSZ.EndDialoag] USERSZ.EndDialoa3 
OWORO PTR DS:EEZERLISERSZ.SetDLgIten LUSERSZ.SetDlaltemTestH 
DWORD PIR DS: EZ&KERHELS2Z.ERsitProd kernels2.Ex itProcess 
DWORD PIR O5:C2&KERHELS2.Gethody|) kernels2.Gethody leHandleA 

y A dein PTR DS:LE&kERHEL3S2.Uirtualh kernel32.VMirtualProtect 

H 


BH4614HE | $- FF25 1C28480808 
BadaidB4d | $- FF25 18264666 
BaddBdgl4BH | Sc FF25 14264600 
BE4h14C8 | $- FF25 10204000 
BA461406 | .- FF25 63204600 
BB4614C0 | $- FF25 64264660 
BE4+61402 | $- FF25 mm2ms4auna 





Dal 405 HE 
A , 


Vemos que se configura VirtualProtect para ser llamado más adelante. Lo que hace 
VirtualProtect es cambiar los atributos de una sección en la memoria. Utilizariamos esta función 
por ejemplo si queremos que una parte del código aparte de ser ejecutable también sea grabable. 
De esta forma escribiriamos código sobre esa sección de la memoria *sobre la marcha". Y esto 
es lo que se conoce como “auto-modificación de código”: llamamos a la función VirtualProtect 
en una sección de la memoria, afiadimos el atributo de escritura, se cambia el código y después 
se vuelve a llamar a VirtualProtect para cambiar el atributo a su estado original, solo ejecutable; 
el código ha sido modificado sobre la marcha. 


En esta aplicación el ültimo argumento de VirtualProtect es la dirección en memoria a la 
que queremos cambiarle los atributos y el tercer valor es la longitud en bytes de la sección que 
queremos cambiar. En este caso podemos ver que la dirección de inicio es 401407 y que la 
longitud es de OxIF4 (500). También podemos ver que el segundo argumento es 
PAGE READWARITE, haciendo que en esta sección se pueda leer y escribir. Situemonos en 
esta sección de memoria, empezando por la dirección 401407, para ver lo que va cambiar: 
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CPU - main thread, module crackmel E - [O] X 
T 


I 
th 
E 


OllyDbg - crackme12.exe 


File view Debug Plugins 
eh dq] X 





Options 
b- | 11 


Window Help Tools BreakPoint-> 


el ems Ea letales 


ai 


CPU - main thread, module crackmel 





Dap Ap 
68441469 
Dap thA 
Dap) dp 
Dap TL Ap 
46441460 
Doan AE 
agad1412 
agad1413 
6441414 
66441415 
Dap) AT 
amnadai1419 
Dap) AT 
Dap) ATP 
Dap) ATI 
SSES A 
agad1422 
agad1a425 
66441426 
SSES Ep 
Dap A7 
agad1429 
Dap 4A 
SSES 42E 
Dap) 4E 
naqal Su 
Dap) AZE 


Els 


35 BD 43 ou 
C2 8456 


15 52590253 
A456 


C2 Hab 


45 45 Dp 


HOP 
HOP 
DE 42 
DE SB 
DE as 
ASCII 
DE wi 
DB Go 
DB a2 
DB 22 
RETH S604 

DE az 

DE 35 

DE oi 

DEC EDI 

ADC EAX, 33028952 
RETH 55664 


DB B2 
DB 35 


"EPEn h A 


DE 53 

RETH SBa84 
DE 82 

DE 35 

DE 16 

ASCII "EE". a 


CHAR "E" 


CHAR "EI 


CHAR "EI 


CHAR "Er 


I 
O 
* [ix [ees 


iNo parece ser código! Seguiremos pulsando F8 para ver lo que la aplicación va cambiar en esta 
sección de la memoria. 





6684481440 
SSES GK 
Dap) db 
agad14539 
DAT AE 





+ 


62 58304006 
Ha 


68 Fal op 
63 Brid4Bn 
ES GEOpDouop 











pOLdProtect 


OllyDbg - crackmel2.exe -|| Xx 

File View Debug Plugins Options Window Help Tools BreakPoint-> 
See dd X| m H| "tu BE ali 9 FE 

CPU - main thread, module crackmel e [O] = 
Ab4a14S3F ,  A4DBDBS3B DD Gool all ^ 
BB4B81442 | . ES raa CALL &JHP.&USERS2.SetDlaltemTeutH? (bSetOlaltemTextA 
46441445 e Eg LEAWE 
Eemn3a1 439 C2 mana a 
Hagi 440 5B 


= crackmel.tidazuba 


HewProtect = PAGE_READWRITE 
Size = 1F4 (Ep, 


Address 


WirtualProtect 


= crackmel. 0441447 


E 






















464401463 Al 33304004 HOW EAS, OWNORO PTR Os: [4036035] 

46441468 3165 61144000 AOR OWORO PTR OS: [461467], ,EA= 

AR4h146E . S030 471446464 CHF BYTE FTR DOS: [4014607], 52 

DGdpld et, aw ph 18 

Biada1377? . Al 302044004 HOW EAS, OWORO PTR DS: [46436830] 

464414 3165 381445664 SOR OWORO PTR OS: [461436], EAs 

46441482 Al 463404046 HOLD EA, OWORO PTR OS: [463446] 

4441487 . 31805 SF 144664 SOR OWORO FTR OS: (48143F], EHS 

agdaidep | .- EB Oe SHORT crackmel. 68481495 

464414S5F > 3165 471144664 SOR OWORO PTR Ds5:[46146r],EA= 

46441495 > 6S 54344044 PUSH crackmel. 64635050 pOldProtect = crackmel. BE4H3858 
4444143 . BA 1H PUSH 18 HewProtect = PAGE_EXECUTE 
66441439 . S Foe lea Size = 1F4 (Shea, 1 

Biada1381 . 688 471444664 Address = crackmel, BA461487 
46441465 . Es 260400404 WirtualProtect 

464414AB . ES 

44441 4AC . CS 

AA4614400 ER 


AG4G140E | &- 
an+aldB4 | &- 
Be4gBi4BpHn | 5- 


Abdala | S- we 
A , 


Después de pasar del CALL a VirtualProtect, lo primero que hacemos es mover el 
contenido de la dirección 403038 en memoria a EAX y aplicar XOR con la dirección en 
memoria 401407, almacenando el resultado de vuelta en 401407. Sabemos que 401407 es la 
primera dirección de la sección en memoria a la que hemos cambiado los atributos para 
escritura. Y que 403038 se inició como OxDEAD pero fue cambiado dependiendo del botón que 
hemos pulsado (y en que orden). Asi que estas sequencias de instrucciones cambian el espacio 


FF25 12204606 
FF25 12204006 
FF25 14204000 
FF25 16264868 


DWORD PTR OS: C¢&USERS2. Destroy 
DWORD PTR OS: (A&USERS2.OtalogBouk 
DWORD PTR OS: Ce &8USERS2.EndDialog 
OMORO PTR OS: C¢&USeRse. SetOlalte 


USERS2.0estroyllindow 
LUSERSzZ.DialogBosFaramH 
USER=32.EndDislo3 
LUSERSZ.SetDlaltemTestH 
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de la memoria basandose en los botones y en el orden en los que son pulsados. Pulsamos F8 
hasta llegar a la instrucción JNZ en la dirección 401475 y echemos un vistazo a la dirección 
401407: 





OllyDbg - crackmelz.exe 
File View Debug Plugins Options Window Help Tools BreakPoint-> 


edd si KI a gb a 


CPU - main thread, module crackmel e. [LI] X 


DAD) AE 4DBEDassE DD SBeseo4o m 
Bag4801443 ES opp CALL <JMP.&USERS2.SetOlaItemTextA> (bSetOlgiltemTextaA 
LEAVE 


DAD TL AA 
asma 


00401440 
68 50304000 
B4 


668401440 

644481440 

644481452 

6441454 63 Feel aes 
64401459 6S 67144688 
Dap) AE ES Gong 
DAD A6 Al 35504460 
44441468 3165 401144000 
BESRI46E |j]. 8850 0r1446b66 
EE | ee 



































pOldPreotect = crackmel, adas A5A 
HewProtect = PAGE_READWRITE 
Size = 1F4 (ou, 

Address = crackmel. fe461467 
WirtualProtect 






















HOW EAs, DWORD PTR DS: [4454323] 
AUR DWORD PTR OS: [4414677], EAS 
Ue BYTE PTR oke). 0049148F 















6444147 Al 35304060 HOW EAS, OWORO PTR DS: [443435] 

EISES Kg S165 381445606 AUR DWORD PTR DS: C4861436], EAS 

4441482 Al 443404066 HOW EA, OWORO PTR OS: [44444] 

dl Ae , | 3185 31446044 SOR OWORO PTR DS: (46145F], EAK 

agdaiden || ;«| EB Ge SHORT crackmel. 60401495 

6840145F 2 33165 41144600 AUR DWORD PTR OS: C481467], EAS 

4644401455 > B&B büaüamginmmad PUSH crackmel, 86482605 püldProtect = crackmel,. be463658 
44441454 . 6A 1H PUSH 18 HewProtect = PAGE_EXECUTE 
44440149 . &S F4üaimmiua PUSH 1F4 Size = 1F4 rbtr,]1] 

Be4614401 . 688 47144686 FUSH ET Address = crackmel. 64014507 
64440146 . ES 27604000 CALL WirtualProtect 

H4 SIS . ES POP EAR 

444414AC . CS 

44441440 IHT3 


CE 
BE4S614HE | $- FF25 102684660 
BE4S61464 | $- FF25 15204660 
BE46146R | $- FF25 14284660 
Ggaai4og | 5 FF25 10284060 
1 


OWORO PTR DS:bpzELUSERSZ.DestrouWin LUSERSZ.LDezstroulindow 
OWORO PIR OS: Ce&USERSZ.O0talogBoxR LUSERSZ.DialoaBosPFaramH 
OWORO PTR DS: [<2USERS2.Endblialog USERS2.EndDialog 

OWORO PTR OS: EERSLUSERSZ.SetDlalten USER32.SetOlaltemlestHA 


Ld 
OllyDbg - crackmel2.exe ED = EI 


hé 



















X 
File View Debug Plugins Options Window Help Tools BreakPoint-> 
edd X| Kl kat LE adi a E 
CPU - main thread, module crackmel -Joj x 
Ap4A13ES » BSDA HOO EBs, EL a vu 
Hiqi 3ES . HSCS ADO ECA, EAR 
AA4h1 SE? > FER 44564808 IHC OWORO PIR OS: [44346441] 
Hagi SED . H3 323404000 HOW OWORO FTA DS:r4828221,EBH5 
DOApl2E 2 2910 30304000 HOU OWORO PTR OS: [4036030], EBA 
Bm3da13Fa . 900 44304444 MOL DWORO PTR OS: [4636447], ECA 
Hidi SFE NS POPAD 
AA461 SFF E LERUE 
Ba4ni4ag |L., C2 6406 RETN 4 El 
ap64a1403 | 3 PUSH EBP 
46441464 . SBEC MOL EPP, ESP 
Higi i de, . DÉI PUSH EA 
Ba4014a? | .^ ES DC JECHE 
6401409 a" HOP 
emm au an MOP 
464414 42 DB 42 CHAR "E" 
FAFA amc SB DB SB 
DAT 460 B OB Ez 
DA La , 35 BD 43 be ASCII "SACH, 6 
emnamn1412 Hl OB 41 
Aa4Aa1413 aua OB 59 
Eemn4mn13414 B DE m2 
emnamn1415 a3 DB S3 
emnamn1416 , Ce 8466 RETA 2664 
46441419 pz [B Hz 
Eem3ad141H a5 DB 35 CHAR "5" 
BR4H1416 B1 [B #1 
664481410 » FF DEC EDI 
664681410 » (15 52594253 HOC EAR, 536258952 
664681422 C2 048B RETA SE44 
Aa64A1425 pz OB m2 = 
ARSE 426, 35 [B 35 CHAR "E" 
4 


Vemos que la dirección 401407 ha sido cambiada y ahora tiene una instrucción válida: 
JECXZ SHORT crackme1.004013E5. ; La aplicación acaba de añadir un salto condicional a 


su propio código ! Lo hizo cambiando los opcodes en ese espacio de la memoria. 
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Volvemos a la instrucción anterior. Vemos que compara el primer byte en 401407 con 
0x52 y salta si no es igual, a la dirección 40148F. Podemos ver que el valor del opcode en 
401407 es *E3", que no es igual a 52, asi que saltaremos. El salto es hacia otro VirtualProtect . 


OllyDbg - crackmel2.exe | = |F 


E 


File View Debug Plugins Options Window Help Tools BreakPoint-> 
edd) kill bat bey ds) all oa 





CPU - main thread, module crackmel f = [mi 


BR4h1465 ||. Al 32364000 Es, OWORO PTR OS: [463038] 
agdaanides |}. 3105 611446606 OMORD PTR 05: [4614687], EAS 
DAT AGE 58530 87144808 BYTE PTR O5:C461467),52 


CEE | +75 12 
aadaidr? ||. | Al acse4man FAX, OWORO PTR DS:L4Ba83C1l 










Aa TD 












aganid?c ||. |3185 36144000 DWORD PTR DS:r48143Bl.EH&* 

BE4h1452 ||. | Al 463840800 EA”. OWORO PTR OS: [463046] 

BA4h1457 ||. | 3165 SsFi44e68 DWORD PTR OS: C461435F], EAS 

BA4h1450 || .~| EB 46 

BE46145F |} > +3105 01144006 DWORD PTR 05: (461467), EAS m] 
Gg4dni4do95 ||» 68 56304000 pOldProtect = crackmel. 6443650 
DAT A0 |. ¿A 16 PUSH 18 HewProtect = PAGE_EXECUTE 
BA4h149C |]. 68 Fdainmana PUSH 1F4 Size = 1F4 (5586, ] 

Dap LA 1 . S HWHrld4Bun PUSH [t5 ——» Address = crackmel. 66461467 
BE4h14H6 ||. ES 24660000 CALL WirtualProtect 

Be6d4B14AB |}. 58 

BedB14AC "KL, C3 

DAT AH) CC IHT: 


BE4614HE | $- FF25 1204666 
amdaaidBp4d | $- FF25 182048606 
agaaidBpH | Sc FF25 1428458588 
aganidcog | $- FF25 18204000 


OWORO FTIR DSs:pEeRLISERSZ.DestrouWin LSERS2Z.LDestroulindouwu 
DWORD PTR DS:r£&LISERSZ.DialoaBosR LUSERSZ.DialoaBosFaramH 
OWORO PIR DS:peRLISERSZ.EndDialoa] LUSERS2.EndDialoa 

OWORO PTA DSipEeRLISERSZ.SetDlalten USERS2.5etOlgitemTextA 





aGdgdpBi4C6 | .— FF25 2204004 DWORD PTR OS: C2 &KERNELS2.ExitProg kerne lose. Ex itProacess 
BA4h14C0C | 5 FF25 042046060 DWORD PTR OS: [<8KERMNELS2. GetModu| kernels2.Gethodu leHandleA 
He461402 | $- FF25 BA204000 DWORD PTR OS: C¢&KERHELS2.Uirtualh kernel32.UirtualProtect 
DAT AU D au 

44461409 D DE ma 

DAT AT a" DB da 

DA i 4DE aa DB Bad 

Be4+61400 Be DE ad 


44461400 Hki DE He = 
naga] 40E a" DE ma 
4 d 


Vemos que se aplicó un XOR en la memoria 401407 de la dirección 40148F, y que la 
instrucción de la dirección 401407 ha vuelto a cambiar: 


OllyDbg - crackmel2.exe i = | oj sl 


Fie View Debug Plugins Options Window Help Tools BreakPoint-> 
im 44 X| Kill bot ob b ali as 


CPU - main thread, module crackmel E e [O] > 
FFAS 44304006 IHC OWORD PTR OS: [463644] 




















aadaisEr |] > 

aadB13ED ||. AS 233604000 HOU DWORD PTR DS: [4626233], EA! (` 
amadsisrFs ||. 8910 30204600 HOW DWORD FTR Ds: [463630], EBY 

aadai3F2 ||. 8980 482045888 HOU DWORD PTR DS:r4a2848J,ECX 

AadBi=FE ||. 61 POPAD 

AAdB1=FF ||. co LERUE 

andsgi4os |L, Ce 6406 4 

aadB1463 | $ 55 PUSH EBP 

Badal4ad | . SBEC MOL EBP,ESP 

aadai4as | . So FUSH EA} l 
aadal4ar | e EB SF JMF SHORT crackmel. 66401445 

664481409 op HOP 

444681460 op HOP 

4al 4AE 42 DB 42 CHAR "BE" 

44481440 eB DE SE 

46481440 a2 DB az 

aadBidBE | . 35 ean 43 nma ASCII "SAC", 0 

Ba481412 Al DE oi 

Bg481413 Go DB 29 

46481414 a2 DB az 

SÉIER SE DB 83 

BBa8481415 | . C2 B48B RETH 2604 

Ba481419 B2 DE az 

Ba438141BH 35 DB 35 CHAR "E" 

Bao48141E Al DE oi 

Ba48141C | . 4F DEC EDI 

Ba4814diD | . 15 52890253 ADC EA», 33028952 

aadald22 | . C2 Dap FETH 5664 

Aadeides a2 DB oz 

64481426 35 De 3E CHAR "E" 

Bga481427 BE DE BE = 
Ban481428 AD DE ap 

4 | 12m 


Ahora tenemos un JMP en lugar del JECXZ. La aplicación ha cambiado su propia 
memoria dos veces. Pulsamos F8 y volvemos a regresar a nuestro loop principal. 
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OllyDbg - crackmel2.exe E q -Ioj x| 


File View Debug Plugins Options Window Help Tools BreakPoint-> 
544 Xx] KI wëlt BE UE] tl] 


CPU - main thread, module crackmel - [O] > 


BE4611E8 Cres 44564666 ma NOW DWORD PTA OS: [463044], 
Be4611F2 S330 48364666 63| CNP DWORD PTR DS: [463648] E 


HE4H11FS r3 ZO 
HE4H11FB " El soe BA) CHP OWORO PTR DS: [468536844], BA 
ES 43820880 





























DAT 22 













66441249 63 DAD PUSH ASCII "Hn error occured" — 
jagal 2HE EE db, D PUSH 






Dal 211 ES ED 
Badmplzie Cres 44504006 ma 
madmpis2H |f. FFAS 483040006 
Bagdpizze6 || .~ EB 19 


BE4h1l225 |} > 65 11304000 
GH H3 


MOL DWORD PTR DS:r48358441, 6 
INC DWORD PTR DS: [463648] 







Test = "Trying to brutetarce7" 
Eo = E 


Ba4aissF ||. FFr5 as hlind = mBaacanne ('Crackmetti2 bu D 
am4mis2ss |. ES 29020694 CALL SetOlaltemTextaA 

paşalar |. CFOS 44284888 ma nou DWORD PTR OS: [403044], 6 

Ba4siz4i || > EB Gë MP 

añdaizas3 ||» ES aanaaaaa MOL ERE, G 











aadeizas ||. Ce LEALE 

aadaiz49 ||. Ce 166008 RETA 16 

amasmizac ||» BS maiaomaaman MOL EA, 1 

Ba4mizci ||. co LERUE 

Ba4niz52 |L. C2 1888 18 

ARB12ES |r. 55 PLUSH EBP 

ARd4B1255 ||. SBEC MOL EBP,ESP 

AaRag4B1258 ||. 8370 ac i8 CHF 18 

AR4B1250 ||. 75 ac 

Ba4aiz5E ||. 6A ei PLUSH 1 Result = 1 

aa4sizem |. FF75 88 FUSH Tou = gpaacamme (rCracknenpiz by D 
amasmizes |}. ES 5262680940 EndDialoa = 


mm — ve EB 32 


2B 


A continuación empujamos un valor (FO8E2) en la pila y llamamos a otra rutina en la 
dirección 401403. Pulsamos F7 para entrar en la siguiente función: 


OllyDbg - crackmel?.exe i | = [mi x] 


File View Debug Plugins Options Window Help Tools BreakPoint-> 
544] KI wäit HE Ha 


CPU - main EE module crackme1 - JO] > 


ARAL das PUSH EBF 
faqihi 464 S Mow EPP, ESP EN 





Ba4mi4dao5 | . 56 PUSH EAX 
Ba4si4dar | .« EB SE MP 
664681449 ag HOP 
Bg4a14a8n ag HOP 
Bg4ao148BE 42 DB 42 CHAR "B® 
64461440 SE DB SE 
66461440 ES DB az 
AG46146E | . 35 an 43 an ASCII "SIC", 0 JR 
aadB1412 Al DE oi 
Bg4mn1413 go DB Go 
Bg4mn1414 ER DB az 
Bg481415 ea DB 82 
BBa481415 | . C2 B48B RETH 5604 
BBg481419 ER DB az 
Ba4o141n ac, DE 35 CHAR "Er 
664681416 Al DE oi 
Ba4midiC | . 4F DEC EDI 
Ba4a1d4i1D | . 15 52896283 ADC EA», 834228952 
aadald22 | . Ce 648B RETA SEG4 
6041425 ER DB oz 
DD4A01 426 35 DE 35 CHAR "5" 
ARad4Ba1427 BE DB BE 
aRa4B1425 an DE AD 
Ba4mn14223 17 DB 17 
644681420 18 DE 18 
aa4aoi142B as DE Go 
6481420 az DB a 
aa4an142nD 53 DB 25 
Bea4eld2E | . C2 B48B RETA 2664 = 
Ba4813431 ER DB a2 
Tp 


Command -| 
[n 


Hemos saltado al área de la memoria que habia cambiado la aplicación. Podemos 
reconozer la nueva instrucción JMP en la dirección 401407. Pulsamos F8 hasta el salto para 
saber hacia donde nos lleva: 
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OllyDbg - crackmel2.exe -Ioj x| 
File View Debug Plugins Options Window Help Tools BreakPoint-> 
lame] 44] X| Kl bai Bb | a 
CPU - main thread, module crackmel - O] > 
404414606 . DÉI PUSH EAS CS 
CEECEE ` ER SF JHP SHORT crackmel. 60401448 = 
DDAp au 20 HOP 
DDAp Lan 20 HOP 
DDAp Lab 42 DB 42 CHAR "E" 
DDAp aac aB DB SB 
664681460 DZ DB 42 
HA4614HE . | 35 BD 43 Du ASCII "Ste. 
460441412 Hl DB i 
60441413 a3 DB 59 M 
HA4hi4di4 e DB m2 
664481415 a3 OB 83 
Ba48141&6 | . | CZ a48B RETA S664 
664481419 Hz OB B2 
He4H1414 25 De 35 CHAR "E" 
664481416 Al OB ol 
460441415 4F DEC EDI 
460441410 15 5259462583 ADE EAS, 23025952 
B6d4a1422 C2 BdSB RETA S664 
Doa4pl 4S Az DB 42 
aa04Aa1425 35 DB 35 CHAR "5" 
pagana HE OB HE 
66441425 AD DB #0 
6640814239 Le DB ir 
66448142 1B DB if 
pagani 428 aa DB OO 
40441420 az DB 42 
460441420 a3 DB 83 
B64a142E C2 e456 RETA E64 
041451 Az DB m2 
664481432 35 OB 35 CHAR "E" = 
641433 16 OB 16 
4 | 1m 
66441434 45 45 mnm ASCII "EE",H m 
6441437 aa DB 5% I= 
46441435 & | Be DB a2 
66441439 . | DH 58 ASCII "zx" 
6441436 . | Bd6BETBE DD BBE;?/&6684 
6644143F . | 4DBDBSSBE DD SpgasBD4D 
6441445 . [ES DEE CALL LsetOlaltemTeztA 
46441445 A L9 LEHUE 
66441445 . C2 Hp a 
ab4da144C [rs Se PUSH EAs 
66441440 . 5&8 54364044 PUSH püldProtect = cerackmel, BHDADZ2DER == 
66441452 GH Ha PUSH 4 HewProtect = PAGE_READWRITE 
6641454 GD Feel eee PUSH 1F4 Size = 1F4 (54H, 1 
66441459 GD 41144006 PUSH Address = erackmel.tBmmniagi4n, 
Dal AE ES GEpGooon WirtualProtect 
Dal 4635 Al 33304006 MOL EAs, OWORO PTR DS: [443435] 
460441465 3165 Hd laan ADR OWORO PTR OS: (4614871, ERR 
6644146 . 2630 87144668 52 CAP BYTE PIR DS: [4614867], 52 
6644145 ww CD 18 
DA Ae . Al 3C3B4ma MOL EAS, OWORO PTR OS: [443830] 
Dal det 3165 36144608 AUR OWORO PTR DS: 0481456], EAs 
46441432 H1 44344006 MOL EAS, DIOU) PTR DS: [4434044] 
66441487 . 3165 23F144406 ADR OWORO PTR OS: [46143F7,ER= 
66441480 we EB D 
Dal AE > 3165 87144688 ADR OWORO PTR OS: [4614677], EAR 
66441495 > 688 biam PUSH pOldPretest = crackmel.tBa4mimesa 
66441498 . A 1H PUSH 16 HewProtect = PAGE_EXECUTE 
Dal A2 . DÉI Feel aaa PUSH 1F4 Size = 1F4 (56H, 1 
6644141 . 58 Bd laan PUSH PEE emer Address = crackmel,. 064401407 
Dal Ae . ES dr Hp CALL WirtualProtect 
Dal 4AE » ES POP ERA = 
Aagi] AC E RETH 
4 | TE 


Está saltando hacia un regreso. Parece que no va hacer nada especial por lo que 
volveremos a nuestro programa principal. 


http://masteracsi.ual.es/ 


OllyDbg - crackmel?.exe 


File View Debug Plugins 
[| dq] X 





| LL 


Options 


BreakPoint- > 
eje sua] > 


Window Help Tools 


=10/x] 


CPU - main thread, module crackmel y - [nm] > 


bbdbliF2 |} > 2330 4830468646 83) CMP DWORD PTR DS: [4030451,3 
BE4611F3 ]|[.- 0 
44401 1FE 



















Bada1-282 










664401209 
DAT ZE 
46841211 
Q6401216 
DAT 278 


















ES 43420044 
63 DAD 
EE d 85 

ES EDGI og 


Cres 44304606 a 


FFAS 43364808 


3 
c LEE BA) CHP OWORO PTR DS: [4623844], HA 


















FUSH 
PUSH 


HOW DWORD PTR OS: [463644], 6 
INC OWORD PTR OS: [443445] 






ASCII "An error occured" 













panis .~ EB 193 

44412258 2 68 11304464 PUSH Text = "Trying to brutetarce?" 
644481220 . 6A H3 FUSH 3 ControlID = 3 

644a122F . FFrb5 D FLUSH hind = BRECHRAGB ('Crackmetiz by D 
AA4h1252 . ES 89620888 SetOlgiItemTextA 

BHA4h1257 . CFSE 443446866 Bal NOW DWORD PTR DS: (463644), 6 

664441241 = EB 43 

DA 242 > BS aman HOW EAB, DH 

644a1245 . Cg LEHUE 

AA4h12e49 . Ce 186 14 

Dap 24 > Be Blanda HOW EAR, 1 

64441251 — ES LEANE 

644a1252 . Ce 1660 RETH 18 

AA461255 . 55 FUSH EBP 

64441255 . SBEC HOLU EPP, ESP 

644481258 S370 ec i8 CHF 18 

66461250 v PE AC JZ 

644a125E GH Hi FUSH 1 Result = 1 

AA461268 EE et Dr FUSH [tina = HARACABAS ("Crackme#i2 bu D 
HA4h12635 ES 52820666 EndDialaoa 

64441258 .« EB 32 = 
64441264 >» Gle Bc 11816866) CHF 111 

4 | "0 


Lo siguiente que haremos es resetear nuestro contador de OxOA a cero. Luego 
incrementamos nuestro contador en uno para la comprobación de la fuerza bruta. Ahora ya 
sabemos como funciona la fuerza bruta: si introducimos un dígito erroneo (de diez caracteres) 
más de tres veces, (el contenido de la dirección 403048 va a estar por encima de tres) 
saltaremos al mensaje de la fuerza bruta. 


Resumiendo, lo que tenemos hasta ahora: 
1. Lacontrasefia tiene 10 digitos. 


2. Siintroducimos una contraseña erronea más de tres veces obtendremos el mensaje de la 
fuerza bruta y tendremos que reiniciar la aplicación. 


3. Cada vez que pulsamos un botón, las áreas de la memoria 403038, 40303C y 403040 se 
modificarán de forma distinta segun el botón que hayamos pulsado. 


4. Después de pulsar diez botones, entraremos en unos cuantos CALL's para modificar 
una instrucción de salto en la sección de código que corresponde a la dirección en 
memoria 401407. 


5. Sila contraseña no es correcta, el salto que ha sido creado apuntará hacia un regreso que 
nos llevará de vuelta a nuesro loop principal. 


6. Si introducimos la contrasefia correcta, cambiaremos ese salto a otra cosa distinta. Bien 
a un salto a un area distinto de la memoria donde podría estar nuestro “good boy" o 
haciendo más cambios en nuestro código de esa área para crear el “good boy" en esa 
sección de la memoria en lugar de crear un salto. 
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Ahora sabemos que tenemos que poner ceros en la sección de código que realiza las auto 
modificaciones del código, es decir el código que comienza en la dirección 40144C. Volvemos 
echar un vistazo a esa sección: 


OllyDbg - crackmel2.exe - [E] x| 


Fie View Debug Plugins Options Window Help Tools BreakPoint-> 
ix 44 X| PH] + ob E os 





CPU - main thread, module crackmel - JO] > 


GESEIS | . 4DEDASSE DD SBBSBDAD 
HE4hl44s | . ream 
Daopl dap | > C9 






















LsetOlagltemTextaA LES 











Bn4ald4o | . C2 mena 

aadaidac lr} EB 

amamia4n ||. 62 sesaaman püldProtect = crackmel. 00483050 
ma4alds2 ||. 6A m4 MewProtect = PAGE RERDURITE 
am4mnid54 ||. 68 Fdmiaaan Size = 1F4 (S500, ) 

am4miaso ||. 68 07144608 Address = crackmel. 80401407 
amamiasE ||. Es etopooae Mee 3hel e SET 

am4ni4es ||. OI 22204000 EAX%, DWORD PTR Dës [403038] = 
am4niaes ||. 3105 67144000 DWORD PTR Dës [4014077], EAK 

ooAnider ||. S880 67144000 BYTE PTR DS:[401407],52 

aadaia7s ||. 75 18 SHORT erackmel.BB4Bld5F 

an4niazy ||. Al Stsedeeq FAX, DWORD PTR Dës [483030] 

aadaiaec ||. 3165 236144000 DWORD PTR OS: (4014367, EAX 

anamians ||. Bi 40304006 EAX, OWORD PTR De: 1403048] 

enanas? ||. S185 2F144000 DWORD PTR DS:[40143F],EA% 

66481420 || . EB 66 

as4miaer || > 3185 67144000 DWORD PTR DS: [401407], EAX 

amamnidos || * 68 50304606 PUSH püldProtect = orackmel.BB4023858 
ensalasa ||. 6A 18 PUSH 18 MeuProtect = PAGE EXECUTE 
Bm4ni4oc ||. 68 Fam10006 PUSH 1F4 Size = 1F4 [5BB.] 

amamiani ||. 68 67144608 PUSH cracknel 00401407 cats Address = crackmel. 80401407 
amamiane ||. Es 27600608 CALL Massa 

6n4a14nB ||. Ce POP FOX AAI FESC 

aadaidac |L. CS RETH 

Ba4a1 45D INT 


MP 
BadaidHE | $- FF25 102604506 
BE4+61464 | $- FF25 1282046000 
BE46146R | $- FF25 142046060 
mim $- FFes 102040040 
4 


OWORO PIR OS: Ce&USERS2.0estroygllin USERSZ.Destroyllindow 
OWORO PIR DS: Ce&USERS2.0talogBoxh USERSZ.O0tLalogBoxParamA 
OWORO PTRA OS: CY&USERS2Z.EndDialog) USERS2.EndDialog 

OWORO PTR OS: C¢&USERS2. SetOlalten USERS2. SetOlaltemTextA 





8 2B 


Podemos concluir que la intstrucción de comparación con 0x52 en la dirección 40146E 
es bastante importante. Le dice al programa que los cambios que hicimos en el código son los 
correctos. {Pero que significa el opcode 0x52? Significa: PUSH EDX. Así que este código lo 
que hace es comprobar si la primera instrucción es un "PUSH EDX”, y si no lo es, lo descarta. 
¿Qué pasaría si forzamos la instrucción para que sea un “PUSH EDX”? Pongamos un 
Breakpoint en la dirección 40146E donde el código comprueba si se trata de una instrucción 
PUSH y pulsamos F9. Cuando OIly se detiene en el Breakpoint iremos a la dirección 401407 
para cambiar el valor a 0x52: 
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OllyDbg - crackmel2.exe - [B] xj 


Fie View Debug Plugins Options Window Help Tools BreakPoint-> 
le} 44 Ni Kill ee ee) DE ali e 





Lu! 


CPU - main thread, module crackmel -Io E 


eg 52 CMHF BYTE PTR 05: 04614671, 52 


Ba4g81477 Hi 20204000 HOLU EAS, DWORO PTR DS:r4a282CJ 
eedeidrc |. 2165 361446066 “OR DWORD FTR DS:r48143E1,ERX 
am4aidss ||. Al 46304606 HOU EAS, DWORO PTR DS: [4623644] 
Aedeider |. 3165 3F144660 “OR DWORD PTR DS: [40143F],EAX 
66461420 ||... EB Ge JP 

am4ai4srF ||» 3165 671446060 “OR DWORD PTR OS: (46ide7], EAS 
anda1i495 || > 68 563040606 












BE46147°5 |f v VS 














pOldProatect = crackmel, be4e35656 


Badai4d9H ||. 6A 18 HewProtect = PAGE_EXECUTE 
BE46149C |}. 68 Fdmlmmnan Size = 1F4 (566, ) 

Be4+614A1 . S Br144600 Address = crackmel. 66461487 
BE4614H6 |}. ES 27600006 WirtualProtect 

BE4614HB |}. 53 

DAT AH |e. C3 

jatii AH CE 


BE4614AHE | $- FF25 10204000 
BE4614B4 | $- FF25 18204000 
BE46146H | $- FF25 14204000 
DAT Ap 5 FF25 182804888 
HAT AC | .- FF25 08204000 
BE4614C0 | 5 FF25 64204000 
BE4+e14¢0e | $- FF25 66204000 


IR LUSERSZ. Dle=stroywllin LUSERS2.Destrouyllindow 

PTR OS: [<2USERS2.DialogBo+R USERS32. 0D la logBo:ParamA 
PTR DS: [<2LISERS2.EndDialog USERS2.EndDialo3 

PTR OS: [<¿USER=S32.SetDlaltel USERSZ. SetOlgitemTextA 
PTR DS: Ce&KERHELS?S. Ex itProg kernel32. Ex itProcess 

PTR OS: C28KERNELS2.GethNody) kernel32.Gethadu LeHandleH 
PTR OS: [<2£KERNELS2.Uictualk kerne LS2.UirtualProtect 


Dap AU a 
46461409 Ae 
HAT 40A Ae 
4684481406 a 
46461400 nis 
4684681400 [als 
Hagi i AUDE Ae 
464481 40F an" = 
BE4614E8 a 
JE 


Command -| 
| Breakpoint at crackmel 00407 46€ | 


OllyDbg - crackme12.exe Wes | - [8] x| 


File View Debug Plugins Options Window Help Tools  BreakPoint-> 
e 44 Si KI + xD "| > 


















adgaa13F2 
aa4a813F28 
BH4613FE 
BA4+615SFF 
DAD TL Ap 
DAD TL A7 
DAD TL gig 
DAT 486 
DAD Ap 
DAD LA 
DAD TL A2 
DAD TA 
DAT Ab 


2310 TAER 
. 8900 40304006 


HOU DWORD PTR 
HOU OWORO PTR 
POPAD 
LEALIE 


4 

PUSH EBP 

MOL EBP, ESP 
EA. 





































[v Fill with NOF's 


CHAR "E" 





DAD TL AL DB SB 
468441460 2e DB 42 
BE46146E BO 43 au ASCII "SFC", 6 
664081412 1 DB Hi 


Ha461415 
be4+61414 










Bg40141t5 DE $3 

44481416 RETH 2604 

ag481419 DE a2 

ag4n0141n DE 35 CHAR '5' 

aa4a141E DE oi 

ag40141C F DEC EDI 

aa48141D 15 528982253 ADC EAS, 83428952 

aadai422 A456 RETH 3664 

Bg4a01425 DE oz 

Bg4a01426 DE 35 CHAR '5' 

Bag4mdi1427 DE ME 

aa481428 DE an = 
DE 17 


"E 


Si pulsamos ahora F8 vemos que no saltamos: 
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OllyDbg - crackmel?.exe E 


File View Debug Plugins 
[| dd] X 


Options 
b | Il 









Dap Aa 
Dap Aa 


e HOER 









be461440 63 505084060 
Dap Ab, GH B4 

66441454 62 F4dBinmana 
44441459 63 411440004 
BE4H145E ES Gun 
jaqa de Al 33304060 


DOT de 


SebIgER 
SSEISER 
Be4e147C 
Bede 4o2 


3165 mrid4na 
2030 mBrid4na 


ro 16 

Al 3C3848nm8 
S165 36144668 
Al 48364688 






LI UU wf BR L] E n" n" E " E " E L] E L] n" 



















Window Help Tools BreakPoint-> 


se ssp H be 


ai 


CPU - main ovens module crackmel 


PUSH FAN 









MOL EAs. OWORO PTR DS: [463638] 
“OR DWORO PTR DS: [4614671], EAS 
CHP BYTE PIR OS:[46146r],52 


HOU EAS, OWORD PTR OS: 0483830] 
BOR OWORO PTR 05: 0461456), EAS 
HOU EAS, OWORD PTR OS: [4636461] 








Ba481487 2165 3F144à8nng “OR DWORD PTR OS:(46142F],EA% 
64441480 ~ EB B6 HP 

Ba4a148F 2185 67144000 “OR DWORD PTR DS:r4si4a71,Enz 
66401495 65 50304604 FUSH 

aan4a1438 6A 18 PUSH 16 

aa4a1 490: 68 F40106094 PUSH 1F4 

66441406 ES 27066664 CALL 

aa4414AB ES POP EA} 

a64814AC C3 RETH 

644414A0D CE IHTZ 

Go4niA0E | $- FF25 10204804 DWORD PTR OS: (<8USERS2. Destroy i 
añdaidBd | $- FF25 18204664 DWORD FTR DS: (<8USERS2.Dialoaboxt 
añda1dBa | $- FF2S 14204664 DWORD FTR DS: [<2USERS2.EndDialos 
añdaiaca | $- FF2S 1602046866 DWORD FTR DS: C(<8USERS2.SetOlaIte 
aa4a14Ca - FF2S 88264088 DWORD FTR DS: (<&KERNELS2. Ex ¡itPror 
am4miacc | $- FF2E 4204804 DWORD PTR DS: (<8KERNEL22, Geroch 
i $- FF25 Büa2a04088 DWORD FTR DS:rz&KERHELS2.Uirtual 


pūlgFrotect = crackmel,. BHADZ2DGR 
HewProtect = PAGE_READWR ITE 
Size = 1F4 (560, ] 

Address = Gracknwel, DaADl Ae 
WirtualProtect 


pOldProtect = crackmel.tmmimambu 
HewProtect = PAGE_EXECUTE 

Size = 1F4 (S66, ) 

Address = crackmel, BAD LA 
WirtualProtect 


USERS2. Destroyllindow 
LUSERSZ.DialoaBoszsFaramH 
USERS2.End0Dialog 
USER3S2Z.S5etDlaltemTestH 
kerne l3z. Ex ttProcess 
kecrnel32, GetMody leHandleA 
kernel32.UirtualProtect 


=10/x] 


10) > 


T 


wn 


2B 


Ahora, lo que hace el código es mover el valor de la dirección 40303C a EAX y aplica 
XOR con el area de la memoria 40143B. Miremos lo que hay en esa dirección: 























OllyDbg - crackme12.exe l - [a] x| 
File View Debug Plugins Options Window Help Tools BreakPoint-> 
ed 44 X| KI + DE | o : 
CPU - main gek module crackmel - [al : 
Bmndanid28 DB aD E 
66401429 DE 17 ` 
HA461428 DB 16 
Bmndanid2B DB Go 
Bmda142c DE as 
Be461420 a3 
RETN 2E6604 
Hz 
DE 35 CHAR "EI 
DB 16 
TEET B — 
s EGE TE Genee r0 || BB HALD 
AE E m SF OELSE 
00401443 REKT &JMP. &USER32. SetDlgltemTentA> LSetDlaltemTeutH 
















44401443 
44401449 
64481440 
6644681440 
64481452 





asma 
543040480 
ad 











644481454 62 Fango 
adda13459 63 601144000 
Hagal 4E ES Gau 
adda813463 Al 33304060 





DDADT d 


SSEISERS 
EEEN 
SETTE TIE 
ed 


3165 61144066 
SHSD mBrld4dBas 52 
rb 18 

H1 SsCsh4hau 

2165 261440446 

H1 402304006 






D 
mw 
























HOJ EAS, OWORO PTR OS: [4623833] 
SOR OWORO PTR OS: [46146r7,ERx 
LHP BYTE PIR OS: (461487), 52 





Je 
MOU EAX, DWORD PTR DS: [48360230] 


AOR OWORO PTR OS: (46814367, EAA 
MOL EBR.DWORD PTR OS: [4623444] 


pOldProtect = crackmel.tBadasasag 
HewProtect = PAGE_READWRITE 
Size = 1F4 (566, ) 

Address = crackmel, Ab4h1487 
WirtualProtect 


we 


dÉi 


Solo se trata de un area de la memoria hacia el final de la sección de nuestro código auto 
modificado. Después de aplicar XOR tenemos que: 
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Dal 42E 
Be46143F 
naqil 44s 
44441443 
DAT A2 
DAT 44e 
be461440 
Dal a 
44441454 
66401459 
Be46145E 
Dal 4z 
DDADT 465 


ISS pa 
DDADl Ae 
SÉ 
















44662800 
406042336 
ES rema 


C2 mean 

63 54344006 
Ha 

63 F4jHlamda 


62 071440060 
ES GEoaupon 


1 35304000 


H 

3185 mri4d4a8n 
SHS0 mrl4d4Bams 52 
rb 18 


Al 3304006 
3185 36144606 
H1 46564888 









CALL 
LERUE 


Dok ln 


DD Goal) 


HOW EAS. OWORO PTR OS: [465433] 
SOR OWORO PTR DS: 0461467], EAS 
CHP BYTE PTR OS: (481467), 52 


HO EAS. OWORD PTR OS: E48383C 1 
ADR OWORO PTR DOS: 0461436], EAS 
MOL EAS. OWORO PTR Os: [443444] 








LsetDlaltenmTentA 


pOldProtect = crackmel., 04h35 
HewProtect = PAGE_READWRITE 
Size = 1F4 (S66, ) 

Address = erackmel.tmadagi4u? 
WirtualProtect 


¥ 
— 


Y cambiamos la siguiente localización en 40143F aplicando XOR con el contenido en 


403040: 


OllyDbg - crackmel?.exe 


Options Window Help Tools BreakPoint-> 
b | 1l 


File View Debug Plugins 
[| dd] X 


CPU - main E 








agad1433 
agad1434 
Doan A7 
66441438 
44461439 
BE4614356 
Dap) 47 
Dap Aa 
Dap Aar 
66441449 
66441440 
668441440 
44441452 
44441454 
Be4e1459 
He46145E 
Dap de 
66441465 


Dap) Ack 
GSESHE Gs 
DHOapgl Act 





5H B8 
B4e662500 
YrOCA4ACS 

ES von 


Ce Bebe 

62 50304060 
Ha 

63 F4e1 beau 

63 01144000 


ES GF 
1 33304000 


A 

2105 6144000 
26830 4r144H66 52 
Qe TE 18 


H1 33044060 


3185 236144060 


Al 46564686 


3165 SF 144668 
EB Ge 
23105 87144668 


63 50584000 
eH 16 

63 F4e1 been 
63 41144000 
= ZC HDH 


bread, module crackmel 
16 
















eje sua] > 


DB 16 

ASCII "EE", 6 
De 89 

DB oz 

ASCII "zz" 
DD 00226694 
DD C94RCH?D 
CRLL 


LEALE 
o 





HOU EAS, OWORO PTR DS: [443433] 
DR OWORO PTR OS: [461467], EAS 
CHP BYTE PTR chnel 0040148r 


MOL EA, OWORO PTR DS: [44=34=0 1 
ADR DWORD PTR OS: 0481456], EAS 
MOL EAs, OWORO PTR DS: [463046] 
ADR OWORO FTR EE 


“OR DWORD PTR Dës (461i4er], EAH 
PUSH erackmel. 66403055 


PUSH 10 
PUSH 1F4 



















POP EAK 





CALL 


=10/ x| 


[nj > 


LsetDlaltemTertA 


pOldProtect = crackmel,. 0040305 
HewProtect = PAGE_READWRITE 
Size = 1F4 (She, 1 

Address = crackmel.tBmadaia4mu? 
WirtualProtect 


pOldProtect = crackmel,. BHADZ2DGR 
HewProtect = PHGE ERNECLTE 

Size = 1F4 (566, ) 

Address = crackmel.tBadda144u? 


WirtualProtect = 


IB 


Ahora que hemos cambiado la instrucción a PUSH EDX y visto lo que hace esta 
sección de código, volvamos hacia el loop principal para entrar en el CALL de la dirección 


401211: 
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OllyDbg - crackme12.exe ] 


File "view Debug Plugins 









Eid 1zrmaom 
4444] 2AE 
46441211 
do) 21 
do) ee 
do) 226 
do) 226 
a68441220 
do) 32 
Dol 223 
Hpdpol272e 
Elli 1231 
Elli 1243 
Elli 1243 
Ell 242 
4444124 
4441251 
Ebdmnlas- 
öä4hl z255 
44441255 
44441258 
441255 
dA4A4125E 
44441264 
4441263 
SISÉEISK 2 
SISÉISK sl 
4A4A127 

[ibid 1273 
Dal 2ee 
DA 2 
4444] 275 
«| | 












[| X 


CPU - main thread, module crackmel i i 


63 HESE4688 
EE db, Ba 
ES EDGL gon 

Cres 44304000 ma 
FFAS 48384008 


Syne 


Pulsamos F7. 


OllyDbg - crackmel?.exe E 


File View Debug Plugins 
ex 44| X 





CPU - main thread, module crackmet E 


HOU OWORO PTR DS:L4838481,ECX 
POPRD 
LEALE 


Dap) SF 
naqal SFE 


Hal de 
Haqir 
Dap) dp 
Dap) A2 
Hagai A0 
DA 1 Ab 
DA l A1 
668441460 
Dap) AE 
HE4h1412 
Dap) al 
44481414 
DA) AT 
DA) AT 
Be461415 
Be461418 
66441416 
44481410 
444481410 
Dap) 422 
Dap) 42, 
agaa1426 
aaaai42r7 
aaaai4238 
66441423 
Bede 42H 
d 


Nos encontramos al principio de la sección auto modificada, empezando 





EE 19 


63 11564088 
BA B3 


EE d ma 


ES 89626888 
Cres 445646068 au 


adl 


Window Help Tools BreakPoint-> 


ZEE E 


Options 


ai 


PUSH 
PLUSH 
CALL 


MOL DWORD PTR OS: [463444], 8 
INC DWORD PTR OS: [4603045] 


PUSH 
PUSH 3 
PLUSH 


CALL 
HOW DWORD PTR OS: (4836441, 6 




























EB m3 JHF 

ES üanmnaaaaa MOL EA}, D 
ca LEAWE 

C2 ieee RETA 16 
ES aimaaaa8 MOL EAR, 1 
ca LEAWE 

C2 1066 

EE 

SBEC MOL EEF, ESP 
5370 mc 18 CHP 

75 AC 

6A al FUSH 1 
FFTE BS 


ES 528249060 

EB 32 

GL mc 11618686 
ro 26 


5645 1H 
SB55 1H 
CEA 16 
66: HBD2 


a 46564088 










BO 43 Ba 
Hab 


GEELEN 
Hab 


Options 
>| 1] 






MOL EDs, 
SHA EDS, 16 
OR Da, Da 


Window Help Tools BreakPoint-> 


e HU d 


ai 





4 
PUSH EBP 
MOL EBP,ESP 
PUSH EHa 
PUSH EDX 
HOP 

MOP 


= HET H 


ADC EAX, 253623952 
RETA SE64 


DE E 
DB 35 
DB E 
DE E 
DE 17 
DB 18 


| 


| 


ll xi 


.z inl» 


A 


ASCII "An error occured" 





Text = "Trying to bruteforce?" 
ControlIO = 3 

hlind = BABA ["Ercackmetlz2 bu D 
SetOlaltemTteztA 


Result = 1 
hing = BH1ZHBAB ("Crackmentliz bu D 
EndDialog 


2B 


[Bl x! 


3 [al JE 
al. 
ntdll.KiFaztSustemCallREet 

CHAR "E" 
CHAR "EI 
CHAR "5" 

1m 

por PUSH 


EDX. Vamos a decirle a Olly que las cosas han cambiado y que re-analize esta sección de 


código: 
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Volvemos a encontrarnos con algo que se parece a código legible: 


OllyDbg - crackmel?.exe 


File View Debug Plugins 
ex 44] X 








Options 
II 


Window Help Tools BreakPoint-> 


eje E dl > 


CPU - main thread, module crackme1 








264441445 
Hagal gig 


C2 Dapp 
5 





d 
PUSH EBP 
MOL EBEP, ESP 


OllyDbg - crackme12.exe - [E] x| 
File View Debug Plugins Options Window Help Tools BreakPoint-> 
el dd] Si KI ee obl e : 
CPU - main thread, module crackmel Backup E e [Ol > 
144413 E r GE 40304006 e coe PTR O Copy m 
3 F LERUE Binary’ b Eum 
x RETH EGP Undo selection Alt+BkSp 
Aaaa 14e PUSH EAR Assemble Space 
Dal Age PUSH ED Label astSustemCallRet 
20401409 NOP 
WwW Comment p 
60461460 HOP j 
60461408 DB 42 Breakpoint + 
Dal amc DB SB 
6401460 DE m2 Hit trace Ld 
a640140E HO 43 mua ASCII "SSC". og 
pmn4913412 1 OB 41 Run trace Ld 
Em3a1413 DB 59 
EBm391314 OB Ez 
664401415 DB S3 o Fa H 
o Analyse code iCErl--À Follow in Dump V 
a Remove analysis From module View call tree Cri-K 
a Scan object Files Chr 
a Search For k 
Remove object scan From module l 
d Find references to + 
d 4ssume arguments V jeu 
^ Remove analysis From selection Bk Spc Copy bo executable k = 
4 During next analysis, treat selection as " m 


=O) x| 


= {CJ} > 


6441406 5H PUSH EAK 

Dap Ap Se PUSH Els ntdll.KiFastSustemCallRet 

66441465 EIS HOP 

66401409 EIS HOP 

SEIN ISS 20 HOP 

Dap App 42 IHC EDs ntdll.KiFasztSustemCallRet 

Dap) dp SEB HOU EAs, OWORO PTR OS: [ED] (E 
Dap) 4HE 35 60436041 ADR EAs, 1804360 

Dap) Alz ganz HOU DWORD PTR DS: EEDIS1, EAs 

be461415 gara B4 ADO EDs, + 

be461418 Bae HOU EAs, OWORO PTR DS: LED] 

Dap) AT 35 Hi4F1552 AOR EAS, 52154F61 

Be4+6141F 982 HOU DWORD PTR OS: FEEDS, EAs 

Be4+61421 S3C2 B4 ADO EDs, + 

Bamaad1424 aBi2 MOL EAs, OWORO PTR OS: [ED] 

Dap) dZe 35 DEODl dg ADR EAA, 1617 S08E 

amdaia42zB gon MOL DWORD PTR OS: CEO#1, EAs 

be461420 gara B4 ADO EDs, + 

be461438 aBi2 MOL EAs, OWORO PTR DS: LED] 

Dap) A7 35 16454568 AOR EAs, 454516 

amnadi1437 gon HOU DWORD PTR DS: FEEDS, EA,» 

SEIN ER SA POP EDs crackmel, B6461216 

Dap A2 58 POP EAR crackmel, A6461216 

Dap) 42E Bad 66 ADO AL,56 

amaa1i43n ¿8D0 SUE EH, BL 

anaaia43F rū CA JGE SHORT crackmel. 46461466 

Dap) Aal 4H DEC ED ntdll.KiFastSustemCallRet 

Dap) Aa CS LERUE = 
m ES ranmamaan CALL <JMP.&USERS2., SetOlaltemTextA> LSetOlaltemTextaA (t^ 
d k 


Intentemos analizar el código en su conjunto. Tenemos un PUSH EDX al principio. 
Esto, junto al POP EDX del final nos indica que EDX va a ser utilizado en en este código de 
forma local. Tenemos NOP's vacíos que probablemente tendrán algún código. También hay una 
serie de áreas en la memoria a los que se aplican XOR con DWORDS. Esto normalmete 
significa que estamos descifrando algo, y en este caso es algo a lo que EDX está apuntando. Los 
NOP's probablemente son el lugar donde se encuentra EDX y EDX apuntará a algo que será 
descifrado u alterado con los XOR's. 
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La gran pregunta en estos momentos es hacia donde apunta EDX. Si recordamos, habia 
una cadena de texto que nunco se llego a utilizar y que viene a decir lo siguiente:”An error 
occured". Quizas es esto lo que va a ser descifrado...Sabemos que la cadena fue empujado a la 


pila, pero nunca se llego a utilizar. 


























DAT 216 RETURH to crackmel.BHB4Bdl216 from cy, 
















E i Ei 1-zmmms 

HALSFBEC 4443404 ASCII "An error occured" 

Hm13FBrH HeLSFESC | | 

HHISFer4 rrDisrus RETURN to USERS. 17018703 

BHRISFErs DI 266A 

HBd13FBrC 6448111 

a61=3FESó ARRAS m] 
BHm13FBS4 DDT op 

Ha1sFBSS 4441426 

Bm13FBSc DICEHHECD 


RETURN to crackmel. 66461626 from d 
wm 
A 


aa 


Veamos si podemos confirmar nuestra hipotesis. Generalmente cargamos una variable 


local con una instrucci6n como la siguiente: 


MOV EDX, [EBP + algo_#] or MOV EDX, [EBP - algo_#] 


Para averiguar el número vamos a pusar F8 hasta llegar a la dirección 401408: 





OllyDbg - crackmelz.exe - [CPU - main thread, module crackme! | 
[e] File View Debug Plugins Options 


EH + eds a mi 


Window Help Tools BreakPoint-> 


ex 44| X 


S910 3cam4auna 










aadaa1i3Fz 
agaais3ra 


HOW OWORO PTR DS:L48383C1, EBs 
HOW DWORD PTR DS: [46854448], EL a 


zE 


Dees! le [x 


Hagal SFE 
aagaaia3FF 







Tas 40504000 






POPAD 
LEALIE 






DAT Ap Ce Happ d 

GISEISAEISE 55 PUSH EBP 

DAT 484 SBEC MOL EEP, ESP 

HAT Ap, ||. 56 PUSH EA 

DAT AE, 52 PUSH EDs ntdll.KiFastSustemCallRet 
EEEEIEEEM |. 35 HOP L| 
Dap Ap ||. 96 HOF 

DAT A0 ||. 98 HOP 

BE461466 ||? de IHC ED ntdll.kiFastSustemCallRet 
amg4mi4moc ||. —2BB2 HOW EAs, OWORO PTR OS: CED] 

BE4h146E |}. 35 6043680461 ADR EAs, 1064260 

DAT Al god MOL OWORO PTR DS: LEO], EAS 

BA461415 ||. Sate Ha ADO EDs, 4 

BA461415 ||. B62 HOW EAs, OWORO PTR DS: LED] 

BA461410 |}. 35 B14F1552 AOR EAA, 52154F61 

Be46141F gon HOW DWORD PTR DS: CEOs), EAS 

aadaid21 |}. S302 B4 ADO EDs, 4 

agaaid24 ||. sb HOU EAR, OWORO PTR OS: CED] 

aadai4d2e6 |}. 35 BEBDi?718 AUR EAR, 161 7°808E 

naqal 42E gon MOL DWORD PTR DS: LEDS1,EBS 

BB461420 ||. 8302 B4 ADO EDs, + 

BA461456 |]. ` Ga MOL EA, DWORD PTR DS: TEO] 

agadi4d22 |]. 355 16454596 ADR EAS, 454516 

DAT A2 |}. 5962 MOL DWORD PTR OS: CEO#], EAS 

HA461453 ||. SA POP EL ntdll.KiFastSustemCallRet 
aadaidzH ||. 58 POP EAR ntdll.KiFastSustemCallRet 
BE461456 ||. 84 66 ADO AL, 66 

Be4614S0 ||. 2500 SUB CH, BL 

BA46145F || .^ r0 CA JGE SHORT crackmel. 66481466 

Be461441 ||. 4H DEC ED ntdll.KiFastSustemCallRet 
HAT AAZ ||. C9 LERUE 


4 


error esta 12 bits mas arriba que EBP (mas abajo en la pila). 
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li 


Si nos fijamos en los registros vemos que EBP apunta a 13FB60 y que la cadena de 


Registers [FFU] 


Eee 

HHISFEIA 

rCS9S1EB94 ntdll.KiFastSustemCallREet 
FARRAR 

Hai SFESS 

Bm13FBe8 

BHA4h1626B crackmel.tBmigiamzB 
a61S3FBOS 


644681408 crackmel, pap) dp 


ec OAM DU 
P C Pa CD PO C 6 





debit BCFFFFFFFF) 
32bit B mEEIEEEEEI 
aebit BCFFFFFFFF) 
22bit BIFFFFFFFF) 


32bit rFFOERSe FFF) 





Hi SFeS4 EENETI PETEN Bede i 4AE 

HHL SFBSSs rCILEBS4 ntdll.RiFastSystemCal (Rer 
DIE DEL HHHHHHES 

Had13FBe8 Hia13FBri 

Badi3sFBe4d Dal 216 RETURN to crackmel. be461216 
DIE De DT 20906 

Had13FBec Ead asp ASCII "An error accured" 
a41SFBTA Hai SFBSC 

BalsFBEr4 rroisres RETURN to USEROZ, gellen 
aR1>3FBTE Hal BRAG 

HALSFE rel 64644111 

DIE DO Eni 

Hal SFeS4 DOG 16H 

DIE DOG Dap 626 RETURN to crackmel.tBtid81B82B 
DIE DOC OCBRABEO 

Hal SFe Se EET EET ESL = 
HL SFB S4 DE DU 


al |] , 
Asi que la insrucción que cargaría un puntero hacia la cadena de error podría ser: 


MOV EDX, [EBP + 0x0C] 


Intentemoslo y miremos a ver cuantos bytes necesita: 





OllyDbg - crackmel2.exe - [CPU - main thread, module crackmel 
[e] Fie wiew Debug Plugins Options Window Help Tools BreakPoint-= 
aax w»|n| els] EE all > 


> Pres 44504000 [INC DWORD PTR Assemble at 0040140B xj 
MOU DWORD PTR | 


AS 33304006 
MOL DWORD PTR - e 
' JEBP+0C 


S910 3c3mp4mna 

S980 44304006 MOL DWORD PTR 
el POPAD 

LEALE 





Dap ZE 
Dap lED 
amdaa1i3Fz 
agaais3Fa 
aaaa13FE 
Aa4+615SFF 


MO EDS 










C5 
padoiaee lei g PUSH EBP 

Ba4ei4n4 ||.  SBEC HOU EBP,ESP [v^ Fill with NOP's Cancel | 
Ba4si4ae ||. 56 PUSH EAM 

aadaidar ||. 52 PUSH EDH 

SEEISEISR B55 ØC HOU EDX. DWORD PTR $S:CEBP+C] cracknmel. 00403000 


ntdll.EiFaztSustemCallRet 


DA l Ab 42 IHC EL 


DAT At. 
BE46146E 
DATA) 
GE SEA 
Be4+61418 
Aa461414 
Be46141F 
6441421 
GES E 
DA TL A2 
GISEISE d 
6441420 
664614305 
GISEISE KEE 
DAD TL A2 
DAT A2 
DA L An 
DA i 43E 
464461430 
BE46145F 
Ha4h1441 
DAT Ad. 


GË 

35 80458081 
2902 

Satz B4 
SBa2 

35 M14F1552 
aon 

S3Cz B4 
GË 

35 BEBDi?l18 
2902 

Satz B4 
SBa2 

35 16454584 
agna 





EA”. OWORO PTR OS: CED] 
EA, 1664360 

DWORD PTR DS: CED], EAS 
ED, + 

EAs, OWORO PTR OS: LED] 
FAs,.52154F81 

DWORD PTR DS: CED], EAS 
EDs, + 

EA”. DWORD PTR OS: LED] 
EAS, 141 7°808E 

DWORD PTR OS: CED], EAs 
Els. + 

EA”, OWORO PTR OS: ED 
EA», 454516 

DWORD PTR DS: CED], EAA 
ED 

EHR 

AL, G6 

CH, BL 


ze ui crackmel.mnmdmiadBg 


ntdll.EiFastSustemCallRet 
ntdll.EiFaztSustemCallRet 


ntdll.EiFaztSustemCallRet 


Parece que coje bien. Pulsamos F8 para ver lo que pasa a continuación. Primero, en la 
dirección 401408, EDX es cargado con un puntero hacia nuestro texto: 
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FSP BB13FP5B 
EEF HH1SFEE 
ESI HE461826 crackmel. 64461826 
EDI aBai3FBDS 


EIF 66461466 crackmel.tadmul4BE 


H ES B25 S2bit BLFFFFFFFF) 

H CS B61E 32bit BIFFFFFFFF1 

H 55 Bees 32bit BIFFFFFFFF) 

H DS b23 32bit BLFFFFFFFF) 

H FS BOSE 32bit rFFDEBaBCFFF1 
a GS Baia HULL 

H 


LastErr ERROR_ACCESS_DEHIED (8868805) 
EFL mamaazm2 (NO, ME, NE, A, HS, PO, GE, DI 


STE empty —4.489555805/519547435B8e-1178 
511 empty H, BEID ese ohe-4935 
STZ empty +UNORA 1F86 Dol D maa] 
STS empty 6.3146456 7687 d EC Die Al 
514 empty 1.52762338r43280533552He-t771 
STS empty +UNORA Bags DICH mnaadpplads 
STS empty -1.6653BB55mb9m5e684b53nBe-r18621 
ST? empty B.526254664d2222485444806-42733 
32146 E- SES 


Gre m 
FST BEGG Cond B B Be Err B à BBA 
FCW BE?F Prec HEAR,SS Mask TA cce mc | 


A continuación EDX se incrementa para apuntar al segundo carácter de nuestra cadena 
(‘n’). Cuatro bytes (un dword) son cargados dentro de EAX comenzando en la ‘n’ de “An 
error...". Despues se aplica XOR con EAX y 0x100430D lo que da como resultado 
0x736563063. Este valor es guardado en la dirección donde se encuentra la cadena de error 
(403000). Podemos ver nuestra cadena antes de ser almacenada: 


6403445 


p Vm. m. =. = m. 





Nuestra cadena ha sido modificada. Continuemos: cargamos los cuatro bytes siguientes, 
XOR con 0x52154F01, y los volvemos guardar en memoria. Lo que convierte nuestra cadena 
en: 
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Access Y 
roccured 
Gr 2H|.Truina 
to brute 






(m 41S KK 
ETT Po gp o 
Lu qmi 
m 


Gl 
(al 
a io o D S 
IG T) Cg C 
[ion E ew 
GIG 
miri 
IIT 
Ts ae 
os 


Volvemos a pulsar F8 hasta alcanzar nuestro siguiente bit de código lo que nos dará los 
siguientes cuatro bytes: 





AadASARA| 41 65 63 65) r3 r3 dp ës) Access g 
BA46SHRS| 72 61 GE r4[(65 r2 65 64] rantered 
HA4HSh1e) 66 54 r2 19/69 GE 6r 2B8|.Truina 
BA4HSH15) 74 GE 26 62) 12 r5 r4 65) to brute 
Badmpam2za8|ee6 GE re 65/65 SF Be AA] Force’... 
DAD 1 66 66 46 66/66 DÉI 66 Be)... 
a64AS4AA| 66 Be D D: D DÉI D HEj Le 
AadASASS| AS Es 66 op mnm ma CF 566|B0....0f 
6463444 | 36 rr 42 42 DU 66 D Be] ABE 
SES 0a Bb da OG| 69 SO 40 BE|..... 


«| | 






DAD 206 

DRAI ranted * 
4443014 Trying 
643015 to brute 
Hamm Force? 
DAD 2020 E C 
646630166 66 66 66 D D DD BA ........ 
6443435 Bo....Gf 
Baaa4mgasaaa BBB. 


DAD 242 


Be Ce Te leede? 


«| 1 


i Hemos acertado con nuestra hipotesis! Sabemos el contenido de la cadena, el problema 
que tenemos ahora es que, como hemos introducido una contrasefia erronea y las ültimas 
declaraciones han sido descifradas incorrectamente, nuestro mensaje nunca aparecerá. Lo que 
tenemos que hacer es reconstruir los argumentos que van ser empujados hacia la pila para el 
SetDigltemTextA. Con la ayuda de Olly sabemos que SetDigltemTextA necesita tres 
argumentos para ser empujados a la pila: 


LPCTSTR IpString // text to set 

int nIDDIgItem, // identifier of control 
HWND hDlg, // handle of dialog box 
El primero es facil: 

PUSH [EBP + 0x0c] 


Es el que apunta a nuestra nueva cadena de texto. El segundo y el tercer son algo más 
dificiles, pero afortunadamente podemos contar con referencias. Hay un SetDigltemTextA 
cuando aparece el mensaje de la fuerza bruta: 

8481226 


.« EB 19 
aeadmis2o ||» 65 11584688 
. 5H H3 


Eiaaa1:zz2L ControlID = 





Es = "Trying to bruteforce?" 


Ba4Blssr ||. FF7S oe Rind < BB126606 ("Crackmer12 by Det 
smámisss ||: Es 29020000 sm eue 

smámisss ||. CFOS 44204000 pel MOU DWORD PTR DS:L4838441,6 

aad4eizdi || > EB ao JMP SHORT erackmel.BB4Bl24C 
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Podemos ver que el ControlID es igual a tres y el controlador de la ventana es 1200A6. El 
ControlID es facil: 


PUSH 3 


Para el controlador miramos en la pila: 









Hei SFESC 
641 SFE 
Hal3FBe4 
Hia13sFBes 
DL SFeEC 
aaisFBra 
aaisFBEr4 
aadi3FBro 
aai3sFBrc 
Hia13FBsa 
DL SFeS4 
Ae Sees 


al] 


rCSIEBS4 


















ntdll.KiFastSustemballRet 





E 
RETURN to crackmel. 6461216 from crackr 


ASCII "Access granted t™ 
RETURN to USERS2.7°018r69 

















jal SFeSC 
reDisras 


GARE m 
agnam 11 
anam 
HHBH IHH - | 
Rada ASP RETURN ro orackme|. GAMA LAPR from. IMP 

V 


Vemos que el controlador (1200A6) es igual a EBP+8. Asi que tenemos: 


PUSH DWORD PTR [EBP + 8] 


El código final quedaría de al siguiente manera: 





OllyDbg - crackmel2.exe - [CPU - main thread, module crackme1] 


[e] Fie View Debug Plugins Options 







ad481383 
44401444 
46401406 
Dap Ap 
46401408 
jägi i 46E 
jagi i At 
jagi AE 
HE461415 
Be461415 
Ha A1" 
Dap A1 
Dap AT 
Dapl A7) 
ad4a813424 
HAT A2 
BE461426 
4684681420 
46401430 
Dal A2 
Dal A2 
44401439 
46401434 
44441436 
Dap 43E 
46401446 
Bd4813443 
44401448 
46401449 
Dap AAL 
468461440 























Window Help Tools BreakPoint-> 


AA bah elg o 








5 PUSH EBP 
: How EBP,ESP 
: PUSH EAR 
: PUSH Elx ntdll.EiFaztSustemCallRet 
HOW EDs, OWORD PTR SS: CEBF+C] crackmel. HE4H3008 
E INC ED ntdll.KiFastSustemballRet 
. GD HOW EAS, OWORO PTR DS: CED] 
35 604344641 “OR EA, 16614340 
B Hou OWORO PTR DS: CED], EA 
este m4 ADO EDs, 4 
SBA HOW EAS, OWORO PTR OS: CEOs 
35 H14F1552 ADR EAR, S2154Fe1 
B HON OWORO PTR DS: CEOKI], EA 
Beste m4 ADO EDs, d 
aBHz HOW EAS, OWORO PTR DS: LED] 
35 HmHEBD17?1B “OR EAS, 161 rB06E 
ganz Hou OWORO PTR DS: CED], EA 
este Ga ADO EDs, 4 
pe How EAS, OWORO PTR DS: CEOs 
35 16454568 AUR EAs, 454516 
2902 Hou OWORO PTR OS: CED], EA 
SA ELS BiaisFBrBa 
CC BHHISFE ra 
FFFS BL crackmel. adas ana 
6A H3 
FFFE BS 
E = TORRE LsetOlaltemTertA 
. Ce She 
F DÄ 
BnT po ldProtest = erackmel, 904 





Ejecutamos la aplicación: 







=F] 
=F] 


hees! le [x 


Bases ké 
Ld 
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li Crackme+12 by Detten d ) EX 





Guardando el binario con nuestros parches hará posible introducir cualquier contraseña con 10 
digitos y asi obtener siempre el “good boy". 


7.15 Caso práctico 15: Fuerza bruta 


La fuerza bruta es una forma de extraer un serial o una constrasefia de un binario si 
sabemos el input y el output de una rutina de cifrado / descifrado, pero no sabemos como 
parchear el software o no tenemos el tiempo suficiente para hacerlo. Se trata de la diferencia 
entre un software crackeado con un parche (o una copia del ejecutable parcheado) y un software 
que ya viene con un nombre de usuario y serial que funcione. Si alguna vez hemos descargado 
un software crackeado que incluye el nombre de usuario y el serial, probablemente se utilizó la 
técnica de fuerza bruta. 


Sabiendo pues el input y el output de la rutina a cifrar/descifrar, se intentarán todas las 
posibilidades que conviertan al input en el output hasta que uno coincida. Por ejemplo, si 
introducimos un serial de 1212121212 y la aplicación envía esto a la rutina de descifrado para 
que lo compare con “j6“4gD7-L”. Lo que intentaremos averiguar es como se convierte el serial 
introducido en esa cadena de caracteres, y que serial tenemos que introducir para que la 
aplcación nos registre. 


Nota: Este método solo funciona en binarios que contengan el nombre de usuarios y sus 
contraseñas, pero no en aquellas aplicaciónes que esten conectados a una base de datos online. 


Para realizar el ejercicio seguiremos utilizando el crackmel2.exe de ejercicios 
anteriores asi como un programa de fuerza bruta. 


A continuación se muestra un listado de las operaciones que se realizan una vez pulsado 
cualquier botón del crackme: 
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- 


mow 
mov 
mov 
cmp 
]nZ 
add 
Imad 
ZXOI 


Tmp 


variable 
Variable 
Variable 
***** Hutton 


c 
— 
mt i I 


Le pia ps ia Pre ha LPs iP pe 
mae l ege Hm 


B use to e Ld 


(D Diren CD m (n 


A Em) 


+= 54Bh 
LE 


d 
d PF 


IMO a Di 
C 


I (D 
O 
Mn 


m 


Button 


== 233h 
k= 14h 
+: 

== 


012D0 cmp 
012D4 jnz 
1012D6 sub 
)J4012DC imu 
4012DF add 
140121 and 


Ë 


0401253 jmp 


m 
= i» 


im geil 


Lä 


Pm m Imp 


ET 


JAcat 
HA 
ée 


Ly Pd Ha Laud ( ` 1 


A F. 
e F 


Gl 
Lr] 
a 


J4012E5 cmp **** Button 
2EC ]nZz 

JO4012EE add 

J04012F3 imul 


E en pu ms. 
Mh Ow 
m pif as. d 


Lë ud 
kel 


xor 


VE A Dech e 


3mp 


cmp [ebptarg 
jnz short loc 
and eax, ebx — 
sub ebx, 


Pa L EL. F 


jmp J 


cmp 
[nz 
cdo 
idiv ed 
sub el 
add 
mp 


cmp 
]nz 
XOr 
and 
add 
]mp 


gm 
| 
trn n) 


FOE 
on 
p 
Il 
Vë 
Cy 


cmp k**** Button 
jnz 
sub 
Sort 


add 


25FF5h 


EDU es 
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00401351 cmp [ebptarg 0 B ; ****k Button 8 
]nz m ` P me > EI 
xor & 
imul € 
add ec 


3mp ioc 


H2» VS HP» ¡E ps E. 


mem | 


cmp [cnp k**** Button 


Moo m 
A0 EU VP» 3 P1 
Sei - 


ho 


en? 
ET. RD ES DII =] 
niinc 


U e 
Käl ei | 
As 
j 


F* nl 
LI 

s 
mu 


e 


Ii E es Ee es 


542187h 


TEE 
Ke) k 
P H 


h 
L 


[use f e 

C A: 

[ape [Y ae one Y 

Lu bU L3 GO Lu Lu 
Cl Cl Sal 


b 


LJ 


a 
I 
kee? 


***** Button 10 


ee ae kd 
— Aal Ä 
it 4 
ii 
"7 Ao 


cdq 

idiv ebx ; a /= b, division rest ——> 
add ebx, = a 

imul eax, edx 

XOr ecx, 'edx 


jmp short loc 


e a a e 


JL JL Y 


Ege ie n 
E we ue 
Es Ss Ss VS ¡E 


La ad La Lu 


La 


vm? Aug p 


e Pie | = EI Kë = -Fa ae 
) L4 
Vë a ¡5 


EA 

pp pd 
Ly La Lu 
CO Om Lia ke 


i 
— 


plo E rr a 


k*** Button 11 


cmp 
jnz 
adi el 
add 
add 
JME 


— n 


ee 


tad tad Gad 
Lad (C 


Gab I- ^h 


J Lot Lo Lod | 
ame D ca 

ji LO CO 0D 
Es CP MR el 


fe 
prp 


E24 


O Iu 
{J E 


ie L i L 
ell e 


Lat 
Cut 
Ga tut 


T. 
t 


C 
E 

VS VS d VS Ss H5 VS, VS (Px ds VS Ss Ss VS VS d iP» VS d (xs VS, VS 
L 


S. 
i 


cmp Es DC] - RAR Button 
]nz 013B2 

XOT eax 

Sub 

imul eck, 

jmp 


— 
Ii II 


m | | 


dl PN P 


Sgm Se A 


see 


* p = — 
i 1 
= = 


ab = 
Co m p 


- 


k = k ipm 


a A ad Lad ad a 


=| 
= 


CD 
nz 
and 
sub 
imul 
jmp 


JL LI 
ep EP ES 
e M. 
!L 


if it 


— 


pp ps pp ppp ps o o pop po 


CIL 


Vë e 


3 GO G0 LO LA LA 


D Lo! Cf 
— E 


LE 


(CDC oo oo 


em bg co cata 


5 
an 
| 
cea 


cap 
jnz 
XOT 
sub 
jmp 


4s M asia 
Zë |! 


— 


a Dest 
[ 
eI 
if jf 


G3U03 030 GO 
up ta FY 


CD 


E 


Lt 
|! 


LÀ 
Le i 
me 
me 


EN 


cmp 0], OF! E TEA Bapbon TS 


— 


E | | 


a += P 
b += c 


EH B 


3650 L0 G3 LAN 


Eri Eri Er E 


caca 


ini hry] Dr 


| axe | 
[ 

|! 

LA. 





Lo siguiente que necesitamos son los inputs y outputs. Si recordamos la sección que 
contenía el código auto modificable empezaba con una cosa, y luego después de aplicarle la 
instrucción XOR se convertía una instrucción legitima. 


Asi que el input es el código antes de aplicarle el XOR y el output son las mismas areas 
despues de aplicarle el XOR y ser modificado contra ‘a’, ‘b’ y ‘c’. 


Dirección 401407 empieza como EB 3F 90 90 y se convierte en B9 B4 C5 9C después 
del XOR con ‘a’. 


Dirección 40143B empieza como 04 66 E7 BB y se convierte en FF 75 OC 6A después 
del XOR con ‘b’. 
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Dirección 40143F empieza como 4D BD 08 8B y se convierte en 03 FF 75 08 después 
del XOR con ‘c’ 


Para ver todas las combinaciones posibles utilizaremos el bruteforcer escrito en C cuyo 
código fuente se adjunta a este ejercicio (hemos incluido los dos primeros caracteres de la 
contraseña: ‘7’ y ‘9’ para agilizar el proceso. Un ordenador con ocho nucleos y sin ningún tipo 
de información previa necesitará alrededor de una hora para crackear el serial). 


Nuesto output después de ejecutar el bruteforcer en la consola es el siguiente: 


E C:\Windows\system32\cmd.exe 


xs3** ë Bruteforced serial: 77DE62464B 


Bruteforcing done... 
Fress any k to continue . 





Introducimos el serial: 


MW Crackme#i2 by Detten x| 
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7.16 Caso practico 16: Los binarios de delphi 


Delphi es un lenguaje de programación que se creó con el propósito de agilizar la 
creación de software basándolo en una programación visual. En Delphi se utiliza una versión 
más actual del Pascal conocida como Object Pascal como lenguaje de programación.Delphi es 
un lenguaje muy versátil se usa para casi cualquier proyecto como por ejemplo servicios del 
sistema operativo, establecer comunicación entre un servidor web y un programa, aplicaciones 
de consola, conectividad con bases de datos, para realizar aplicaciones visuales, etc. Este 
lenguaje produce aplicaciones en código máquina, por lo que la computadora las interpreta 
inmediatamente y no precisa de un lenguaje interprete como es necesario en otros lenguajes de 
programación. 


Ventajas del lenguaje Delphi: 


En cualquiera de sus versiones se pueden programar DLLs. 

En Delphi podemos programar directamente los componentes visuales e incluso crear 
nuevos controles que hereden características de los ya existentes. 

También podemos utilizar en Delphi componentes visuales de otros lenguajes de 
programación. 

Delphi utiliza Object Pascal, que es un lenguaje de programación orientado a objetos, lo 
que nos permite beneficiarnos de características importantes en programación como 
son: el encapsulamiento, polimorfismo y la herencia. 


Y Y NN 


Una de las primeras preguntas que nos podemos plantear es:¿ Como sé que estoy tratando 
con un programa en Delphi ? Para responder a esta pregunta contamos con la ayuda del 
programa ExeInfoPE. Este programa se usa generalmente para averiguar que empaquetador se 
ha utilizado para empaquetar un binario. Si el programa no ha sido empaquetado también nos 
dice el lenguaje en el cual fue escrito el programa. Después de iniciar ExeInfoPE aparece la 
siguiente ventana de inicio: 





mI PE - ver.0.0.3.0 by 4.5.L- 617 sign 2011.07.29 dz x] 
Dell ` — — — geo LG 
Entry Point; i [t «| EP Section ; El Di Es] DEE: 
File Offset: [ — — FrstBytes: | =] 5] Plug | 
Linker Info: [|  — subsystem: | About? 
Filesize: [^ © el Overlay: [OO Options | 
Diag momo Exit | 
- Rip 


[i 





Exeli{0 PE 


Lamer Info - Help Hint - Unpack info [D ms 


7.16.1 DelphiCrackme.exe 


Cargamos nuestro primer programa DelphiCrackme.exe 
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File Offset : 


File Size : 


MESE PE ~ver.0.0.3.0 b D by by AS > 
Heil Baa jel LG 
Entry Point : [pnnsseps ` lao «| EP Section: [itet gg] El HEME 
First Bytes : [55.88.E0.83.0+ E 
Subsystem : (Windows GUL 
MO oooo0000 


1992 


[anas zcpae 
Linker Info: [555 
loooeeacoh =| 


Image is 32bit executable 





Cyverlay | 


RES/OVL :4 / 0 % 








=|) xi 





options | 
Exit | 





| {Borland Delphi 2006/2007 $ wan borland.com E " 
Lamer InFa - Help Hint - Unpack. info [Bo z D | 
Mat packed try disassemble OllyDbg (wwww.ollydbg.de ) or WD32dsm A] = >> | 


La información que nos muestra Exeinfo PE sobre el programa DelphiCrackme.exe, es 
que ha sido compilado en Delphi. También podemos ver que la aplicación no ha sido 
empaquetada. 


Asimismo, tampronto cargamos la aplicación en Olly vemos que estamo ante un 
programa “distinto” a los demás programas con los que hemos trabajado hasta ahora: 





OllyDbg - DelphiCrackme.exe - [CPU - main thread, module belphitr] l X 
[c| File View Debug Plugins Options Window Help Tools BreakPoint-> E || x 
Sal dd X bk $i: al e | 







SSES 
Aa459609 
DAG 
Ae45960E 
HE4S96ES 
BE4596E8 
BE4596E0 
Be4596EF 
DAG 
Be4S96FA 
BESS 96FF 
DAG CHL 
HA CH 
DAD CHL 
44453711 
Ha4S9r1s 
aagdbarls 
aaadssrin 
GEELEN 
agqssr2z 
GEELEN 
agassr26 
DAD E 
Ba45972H 
Be4S9r20 
Ba4597°2E 
DAC 28 
aadqbara3z 
DA d 2 
DAC 2 
DA d 26 
Hadar SHA 
DAC 21 
DAG 2E 
HA e dp 
4 


55 
SBEC 
2904 FB 


BS 249504 
ES CCCOFAFF 
Al BCE945SH 





SBA 
ES &CCDFFFF 
SBED 24BA4564 


H1 
SBA 


2615 54095460 
ES &CCDFFFF 
Al BCE9?458H 


SBA 
ES EBCDFFFF 
ES rrhEFAFF 










PUSH EBP 

MOL EBP,ESP 
ADD ESP,—-18 
MOL En. 


HOW EAs, OWORO PTR OS: C45B9AC] 
HOW EAS, OWORD PTR OS: LER 


MOL Els, DWORD PTR DS: [456H94] 
HOW EAs, DWORD PTR OS: C4569AC] 
MOL EAs, OWORO PTRA OS: CEA 

MOL EDx, OWORO PTR OS: [457054] 


MOL EAs, OWORO PTR OS: [45B69AC] 
MOL EA, DWORD PTR OS: EHS) 

















EA”, OWORO PTR DS: LEA] 
ADO BYTE PTR OS: [ER], AL 
HDD BYTE PIR OS: [EA], AL 
ADD BYTE FIR Dës CEA], AL 
HDD BYTE PIR OS: [EA], AL 
HDD BYTE PTR OS: [EA], AL 
HDD BYTE PTR DS: CEA#I,AL 
HDD BYTE PTR OS: [EA+=], AL 
HDD BYTE PTR OS: CEA#I,AL 
HDD BYTE PTA OS: [EA], AL 
HDD BYTE PTR OS: [EA], AL 
HDD BYTE FIR OS: [EA], AL 
HDD BYTE PTR OS: [EA], AL 
HDD BYTE PTR OS: [EA], AL 
HDD BYTE PTR OS: [EA], AL 
HDD BYTE PTA OS: [EA], AL 
HDD BYTE PTR OS: [EA=1, AL 
HDD BYTE PTR DS: IERT, AL 


Delph itr. DAF DCL 


Delph itr. 86457°0A8 


all 


Una de las diferencias más importantes a la hora de trabajar con programas Delphi son 
sus recursos. Si cargamos la aplicación en Resource Hacker veremos una nueva carpeta llamada 
RCDATA. Y dentro de ella nos encontramos con la sección de recursos asociado a este binario. 
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File Edit View Action Help 
Ey Cursor 





Compile Script | 





Icon 
-A String Table object Formi: TFrormi mg 
03 HD at o Left = sei 
El] DVCLAL Top = 396 
PACKAGEINFO BorderStyle = hbsToolWindaow 





Eg TFORM1 = Caption = 'Delphi - MsqBoxes' b ——— 








ae e ClientHeight = 562 

Cursor Group ClientWidth = 127 
Color = clBtnFace 

pentane Font.Charset = DEFAULT CHARSET 
Font.Color = clWindowText 
Font.Height = -11 
Font.Name = 'Tahoma' 


Font.style = [] 
OldCreateOrder = False 
Position = pobesiqned 
PixelsPerlnch = 96 
TextHeight = 13 

object Labeli: TLabel 


Left = 24 
Top = 66 
Width = “Y 
Height = 15 Ez 
ParentFont = False 
end 
object Buttoni: "Button 
Left = 6 
Top = 6 
Width = 113 
Height = 49 
Caption = ' MsgBox! 


Taborder = O 


OnClick = ButtoniClick We 


enc 
end 


D 


Dentro de RCDATA cabe destacar la sección TFORM, donde se encuentran los cuadros 
de dialogo/ventanas de los programas Delphi. En el crackme que estamos estudiando, podemos 
ver que hay un formulario, TFORM1. Si hacemos clic en la flor que lleva dentro se abrirá en 
Resource Hacker el área principal de los datos correspondientes a esta sección. Estos datos nos 
dicen todo sobre el formulario; el tamafio, el color, la ubicación en la pantalla, el título, ... 
resumiendo todos los campos y botones que lleva incorporado. 


En la sección de ‘Caption’ encontraremos el título de la ventana. En nuestro caso es 
“Delphi - MsgBoxes”. Este campo es importante en aquellas aplicaciones que tienen más de un 
formulario. Con el título de la ventana podemos saber que formulario corresponde a que 
ventana. 


También es de cierta relevancia el objeto botones que aparece al final. Es importante 
porque en nuestro analisis deseamos 'atrapar' la aplicación cuando pulsamos un boton, ya sea el 
de “OK”, ‘Exit’, ‘Registrar’, “Aceptar”, etc. Es importante que nos fijemos en el nombre del 
botón para el método OnClick. En nuestro caso es “Button1Click”. Como los programas de 
Delphi conectan todo con nombres en ASCII, cuando la aplicación vaya a ejecutar el codigo 
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asociado con hacer clic en un botón, buscará el nombre “Button1Click” para encontrar el 
método. 


Resumiendo la información del Resource Hacker, tenemos un formulario (ventana) con 
un botón. El “Caption” de la ventana es “Delphi - MsgBoxes" y la función de devolución de 
llamada que controla el clic del botón se llama “Button1 Click". 


Veamos a continuación una de las herramientas más importantes a la hora de trabajar 
con programas Delphi: el decompilador de delphi (DeDe). 


El decompilador de delphi carga un programa de delphi y lo descompone, enseñandonos 
todos los datos del formulario que hemos visto. También nos muestra desde donde son llamados 
todos los métodos, las direcciones de todos los métodos, y el nombre de los métodos. También 


es capaz de mostrarnos una completa decompilación del binario, así como las posibilidades de 
modificarlo. 


A continuación vemos la ventana principal despues de ejecutar DeDe. 


[Dede 3.50.02 (c) 1999-2002 by DaFixer | f = E |x| 


File Dumpers Tools Options About 


| * | Ei Process | 





| Classes Info | Units Info | Forms | Procedures | Project | E sports | 





SelfPrt DFM Offset 


Unit List [from PACKAGEINFO] 


Ready | 


Cargamos nuestro DelphiCrackme.exe en DeDe y hacemos clic en "Process": 
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___|DeDe 3.50.02 (c) 1999-2002 by DaFixer — 





File Dumpers Tools Options 


[E Documents and SettingssusuariasE scriitori lei Process | 


DelphiDialogboxE x ample 
Loading Target... 





| Classes Info | Units Info | Formz | Procedures | Project | Exports | 
SelfPrt DFM Offset 





Thinking ... 


Hacemos clic en Aceptar y en OK 





Version: zunknown version? 


Unit List [from PSCRAGEINFO] 


Press OK when target is Fully loaded 





Delphi - MsgBoxes X] 








Unregistered! 





DelphiCrackme.exe 420352 bytes | 





File Dumpers Tools Options 


[C:\Documents and 5 ettingssusuariasE scritori -| El Process | 


DelphiDialogboxExample 
Finalizing dump ... 








sé EAbstractE ror 
wé EAssertionF alled 
wé EBitsE ror 

wä EClassNotFaund 
sé EL'ompanentE rar 
wé EL opvett ror 
D EF Create rror 
wé EFilerE rar 

es EFileStreamE rror 
wé EFO pene ror 

sé EHelpSustemE «ceptian 
wi ElntiCastError 
e) ElnvalidCast 


Thinking ... 


00410678 
00406554 
0047 "BES 
DD dE AL 
OO40"°EC4 
00410420 
00407 0014 


DO0000000 
DO000000 
00000000 
OO0000000 
D0000000 


00000000 
nnnnnnnn 


004070 Pede 


00401 0: 
004010: 
0040741 
004070 
00407. 
0041100 
0041100 
00411F38 
00407880 
0041104 
00411068 
00411854 
0041160 
00416348 
004070390 
00407454 


Dump successfull! :) 


00000000 
00000000 
00000000 
0000000 
00000000 
00000000 
0000000 
00000000 
00000000 
0000000 
00000000 


X] 


Version: «unknown version? 


Unit List [from PACKAGEINFO] 
















ATLConsts 
Chella Pl hd 


DelphiCrackme.exe 420352 bytes | 
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Le decimos que no al analisis extendido ya que haciendo clic en Yes no suele mostrar 
mas informacion. 


___|[DeDe 3.50.02 {c} 1999-2002 by DaFixer ` - [8] x| 





File Dumpers Tools Options About 


[E Documents and Settingssusuario^E scritari sie Process | DelphiDialogboxE xample 





| Classes Info | Units Info | Forms | Procedures | Project | Exports | 





SelfPrt DFM Offset | 4| ^ Version:cunknown version» 
wy .02 00410618 00000000 Unit List [from PACKAGEINFO] 
wé 00406554 ` 00000000 

















EE Aaeeea uu ae 

d x 
i Initial dumps has finished. Do you want to start extended analisys now? 
M Boolean 

wé Byte Ho 
wä Cardinal 

wä ener Informatio 

wi EAbort Extended analisus looks tor unresolved procedures, tries to determine 
(A EAbstracte rror tupe of unresolved fileds/members of the Farms and other classes and 
wé Eme imss some more. It may need few minutes. 

sé EBitsError 

wé EClasshotF ound 

el EComponentError muüLis 

e) EConvertE mor DO4OzABO  —ODODODUD dëi 

w EFCreateE ror OD411CD4 ` DODODOD0 dE 

wé EFilerE rror 00411288 OO000000 Menus 

(A EFde treameE rror DO411BA4 ` ODO00000 Gecke 

eL EFOpenError 00411060 00000000 EM 

BA EHelpSustemE sception 00418948  OOOO0000 Registry 

(A EIntfL'astE mor OO40"D390 OOOO0000 Regstr 

el ElnvalidCast 00407454 — 00000000 [pa LC onsts ~| 
Ready 79 sec, DelphiCrackme.exe 420352 bytes | 


Una vez finalizado el procesamiento de la aplicación nos aparece la ventana principal de DeDe. 
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[Dede 3.50.02 (c) 1999-7002 by DaFixer l = E | x] 


File Dumpers Tools Options ` About 


[E Documents and Settings*susuario^E scribari el Process | D elphiDialogboxE xample 
| Classes Info | Units Info | Forms | Procedures | Project | Exports | 











[ikea Ue a in ie eaten 
"3.02 00410816 D0000000 Unit List [from PACKAGEINFO) 
sé |l 00406554 ` (UU 

sé 56 Dü417BES (UU 

sé 74 OO407E40 ` OO000000 

"3 .84 OO407EC4 ` O0000000 

sé A Dü41042C ` (UU 

sé Boolean 00401004 00000000 

sé Byte 00401058 ` (UU 

sé Cardinal 00401080 ` 00000000 

sé Char 0040102 (UU 

sé EAbort po4074co 00000000 

wä EAbstractE ror OO40"D34 ` DO000000 

sé EAssertionF ailed OO40F7CD4  oOO000000 

sé EBitsError 0041150 00000000 

E EClassMotFound Dü411bC0 ` (UU 

wé E Componente rror Da411F88 O0000000 

wé ELaonwvertErar 00407880 ODOCCOUL 

wé EFLreateE rror 00411204  OOOO0000 

wé EFilerE rror 00411288 ` (UU 

wé EFileStreamE rror DO411B54 ` D0000000 

(A EFO pene mot 00411260 (UU 

wé EHelpSystemE «ceptian 00418948 ` üDODOOODU 

sé ElntfCastE rror OO407D90 ` (UU 

$$ ElnvaldCast 00407454 — 00000000 ` lc ~] 
Ready 79 sec, DelphiCrackme.exe 420352 bytes | 


Por defecto aparece información sobre la clase de la aplicación, no obstante lo que nos 
interesa es la pestaña de “Forms”. 


DeDe 3.50.02 (c) 1999-2007 by DaFixer E |E |x| 


File Dumpers Tools Options About 


[EADocuments and SettingssusuariasE scritori sie Process | DelphiDialogboxE xample 




































DFM Editor 
ASSURER Æ | object Form: TFormi 
Left = 58] 
Top = 396 
BorderStyle = be Took indo 
Caption = "Delphi - MsgBoxes' 
ChentHeight = 83 
Clientufidth = 127 
Color = clBtnFace 
Font. Charset = DEFAULT CHARSET 
Font.Color = chyindowT ext 
Font. Height = -11 
Font. Mame = 'T ahama' 
Font. Style = [] 
OldCreateU der = False 
Position = poDesigned 
FixelsPerlnch = 96 
TextHeight = 13 
object Label: TLabel 
Left = 24 
Top = B8 
Width = 77 
Height = 13 
Caption = ‘Unregistered!’ 
Font. Charset = DEFAULT CHARSET 
Font.Color = chyindowT ext 
Font.Height = -11 
Font. Name = ‘Tahoma’ 
Font. Style = [FsB old] 
ParentFant = False 


BE 


Ready 79 sec, DelphiCrackme.exe 420352 bytes 
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Aqui podemos ver la información que habiamos recopilado en Resource Hacker, es 
decir los atributos del formulario (en el futuro podemos obviar el analisis con Resource Hacker 
y centrarnos directamente en el analisis con DeDe). A continuación haremos clic en la pestaña 
"Procedures": 





pene 3.50.02 (c) 1999-2002 by DaFixer f | Z |a | x] 
Tools Options About 





File Dumpers 


[EADocuments and SettingssusuariasE scritori Je Process | DelphiDialogboxE xample 


Classes Info | Units Info | Forms Project | Exports | 
Class Mame TForml DPR orrs | 


Unit] l T Forni | | | Events | Controls | 











Buttond Click, O0457F0C 0013 
Ready 79 sec, DelphiCrackme.exe 420352 bytes | 


En esta pestaña DeDe nos muestra los nombres y direcciones del método devolución de 
llamada para el formulario TForml. Vemos que solo hay un botón y por lo tanto solo una 
devolución de llamada. Lo importante aquí es que ahora sabemos la dirección de la devolución 
de llamada: 00457F0C. 


Cragamos la aplicación en Olly: 


Si buscamos por cadenas de texto vemos que no vamos a tener suerte: 


Text strings referenced in DelphiCr:.text - [B] x| 





Address | Disassembly Text string A 
BH459880| CALL Delph itr. BAD 206 (Initial CPU selection! 

a64594ES| MOL EOS, Delph itr. 66459158 ASCII "Bas" 

BA459156)/ ASCII "ax" B 

BA459477| PUSH Delph itr. 66459485 ASCII "TaskbarCreated" 

BH459458| ASCII "Taskbartreated",ó 

BH4594E1) PUSH Delph ir. 66459560 ASCII "Delphi Picture” 


a64594P1|PUSH Delph itr. 64459515 ASCII "Delphi Component" 
BH4595eC) ASCII "Delphi Ficture",ü8 

Bad5gbsic|BscII "Delphi Component" 

Ba45952C)ASCII A 

BA459604) PUSH Delph itr. 66459608 ASCII "Taskbartreated" 
BH4596C8| ASCII "TaskbarCreated'",t 


EIS 





Lo mismo sucede si buscamos por “All intermodular calls”: 
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OllyDbg - DelphiCrackme.exe - [Found intermodular calls] 
D File View Debug Plugins ` Options 


Window Help Tools BreakPoint-> 


ex 44| X 


Disassembly 


eji Sey te) ee ds) ali eg 


Destination A 
(Initial CPU selection! 















Address 














664556860 Delph ico pdas ABE 

Be45983E) CALL Delph iCr. be4a3634 Delph itr. DAD 24 
Ba459647) CALL Oelphitr. 66463664 De lphiCr. 66463664 
Be45964C) CALL DelphiCr. be4esr25 Delph itr, DZ d 28 
Be45966C) CALL <UNF.&kerne Loe. GetCommandLlin kerne lsz. Get Commandl ineH 
BA459076) CALL Delph ito. 6481580 Delph iCr. #41380 
664594854| CALL z.JHP.&kernel32.GetHcP- kernel32.G8etHCP 

Be459058R|) CALL <UMNP.&kerne 132, GetCurrent Thy kerne Loe. GetCurrent Threadid 
Be4598CB) CALL Delph ito. 66464425 Delph itr. be4e4425 
Be459005) CALL Delph iCr, 6404454 Delph itr, be4e445R 
BE4596E0) CALL Oelphitr. 66464600 Delph itr. 66464600 
Be4S90F2| CALL Delphicr.madaca22 Delphicr.tBmadar 328 
Be4598FC) CALL LDelphiCr.tmdadascF Delph itr. DDADËECEG 
Be459161) CALL Delph iCr, se4eaC42c Delph i Cr, 6460420 







66459156 
BA45 9166 
66459130 
66459163 
6645910 
664459212 
66459210 
Ba459225 
IS KEE 
Be4o9247 
Be459255 
Ba459269 
Be459290 
668459201 
SEKR 
668459205 
6459200 
BE4S592E5 
Ba4592F4 


CALL Delph ¡Cr 64460445 
CALL DelphiCr.madmccas 
CALL DelphiCr.tBWudmHE2234 
CALL De lphiCr. 64416688 
CALL <JMF.&kerne loz. Initial izecri 
CALL De lphitCr. 644149858 
CALL Delph iCr. Be4e5CE 
CALL De lphiCr. DAD 
CALL Delph itr. Be4e5E63 
CALL De lphiCr. 64415528 
CALL Delph itr. 8414650 
CALL Delph iCr. 64414656 
CALL Delph itr. Hadi CFF4 
CALL Delph itr. 8e42638C 
CALL &JMP.£kernelsz.InitializeCri 
CALL <JMP.&kerne Loz. Initial izeCri 
CALL ¢<JMF.&ad ise. Get StockObject > 
CALL CP, Sod 132. Get StockObject > 
CALL <JMP.&ad ise. Get StockObject > 


Delph itr. 444404 

De lphiCr. DD 
Delph itr. DDADE 224 
Delph iCr. 66416668 
kernel2z.InitializeCriticalSectian 
De lphiCr. 6641065 
Delph iCr. #A465CER 
Delph itr. DAD 
Delph itr, be4H5E68 

De lphiCr. 66413526 
Delph i Cr, 6641465C 
Delph i Cr. 6641465C 
Delph i Er, 6641CFF4 
Delph itr. B642638C 
kernelse.InitializeCriticalSect ion 
:eprnel32.lInitializeCriticalSection 
50132. Get StockObject 
GOLS2. Get Stock Object 

B0132. BetStock Object 




























44593685 | CALL «JUMP. bu serz. LoadlconA; LUSERSZ.LaadIcanH 
Be45936F) CALL DelphiCr.tmmgd26488 Delph iCr. 66426468 
HA45931F) CALL Delph ito. Hagi ERARAS Delph iCr. nigi EAAS 
68459334) CALL OelphiCr. 6641EAAS Delph itr. Bagdi EAAS 
Be459349) CALL Delph iCr, 641 ERAS Delph icr. 6641 EAAS 
68459350) CALL OelphiCr. 66426564 Delph tr, b64265E4 












BE459366) CALL Delph itr. 66414650 Delph iCr. 66414650 
BE459S7C) CALL Delph itr. 66414650 Delph itr. 00414658 
660459395| CALL Delph ir. 00413564 Delph itr. 06413594 
BE459389| CALL Delph itr. 86415Ee4 Delph itr. 66415684 
Ba4593C8) CALL Delph itr. 6426074 De leh itr. Däd26H dé 
BE459300) CALL Delph itr. 86466468 Delph itr. Dap 
BE459SEAR| CALL Delph itr. 664664668 De leh itr. BB4Q6468 
BE459SF 7) CALL Delph iCr. Dad Delph itr. 66466465 






66459404 


D Coaii 
HN 
Command -| 


Una de las caracteristicas de los programas de Delphi es que hay incontables CALL’s. 


CALL Delphi Edad 


cowl Ne Lekt, Meare Ae O 


De leh itr. BB4R6468 


De Lekt. AAA Ae 





a 


Del analisis con DeDe sabemos la dirección que va a ser llamada cuando hacemos clic 
sobre un botón. Busquemos pues esa dirección en Olly (457F0C): 

























OllyDbg - DelphiCrackme.exe - [CPU - main thread, module DelphiCr] X 

[c] File View Debug Plugins Options Window Help Tools BreakPoint-> AE: 
gr 44X| Kli + ee] de) | o BHH 

Daa | T" 53 FUSH EBR = 














DOE °F RO , SBS HOU EBS, EAs 

DDAE EOF .  33LH AUR EAs, EAS 

DHA, EI) =- 3C Øl CMP AL, 1 

BHiaad5?rFi3 w r5 1C 

HA °F iS . BS 48/rF4564 POL EAR ASCII "Regizteredt'" 
He4S7F148 . ES 5144FUFF 

DA °F iF . BA dE Abo HOLU EDS, ASCII "Registeredt" 

DD E ZA , BES 64530006 HOW EAS, OWORO FTIR OS: [EB:+3641 

BHad5?F2H , Es 4510FEFF 

DHA, EZE . DP POP EBR kernel32.vC816D4F 

Bias ?F3H S ES 

Bids EI F BS ECrF4564 POL EAR ASCII "Unregisteredt"™ 

Hd ke . Es 2544FUFF 

aadErFSBE . EE POP EBR kecrnel32.rc31604F 

DD EZ eS RETH 

Ha457F S30 He DE Bm 

Bad5?F3E SIS DE ai 

DHA, EZE SIS DE ää 

Bias Fa . .FFFFFFFF DD FFFFFFFF 

Bids rF 44 . HEH DD SERRE 

Hd ed . bz 65 Ge 69 3 F ASCII "Registeredt",u 

DA EA , FFFFFFFF DD FFFFFFFF 

BHadgb5?F5S . HD 00 eI 

Be45 °F SC , 55 GE Fe 65 ör 6/ ASCII “"Unregisteredt",& 

DHA, FEA SIS DB äg 

DHA, °F EB SIS DB äg 

Bias EG SES PUSH EBF 

Hd ke . SBEC HOLU EBF, ESP 

Hd Eer . J30 BOR EAR, EA 

DD El » Bb FUSH EEF 

DD Ed » Él PUSH 

DHA ZE de . 64:FF30 PUSH OWORO PTR FS: CEAS] 

DHA, Een .  64:28924 HOW OWORO PTR FS: CEAx#],ESP 

DHA, Ee .  S33LH KOR EAR, EAR 

HA Eet . GH POP EDR kernelz2z.vrcSsienpD4F 

Hd °F Se Ss CE POF EC kernelzz.rCcsSie6D4F 

DA ekEOl , E% FOF EC kernel3z.rCcsSi6D4F 

DD "°F a2 . 84:8918 HOW OWORO PTR FS: [EAs], EDS ntdll.KiFastSustemballRet 
@e467F85 | . 68 PUSH DelphiCr. aa457F92 

DHA, °F SA F CS RET used as a jump to Bä4SrF92 
DHA, FOR .^ ED BACAFAFF 

B45 7F 98 .^ EB F8 

Hd kO >» Eb FOF EBF kernelzz.rCcsSie6D4F 

Hd kO ES CH 
DOE eEOA 33 DB 33 CHAR "3" 

DOE 7F 95 He DE Bm 

Ba4szF36 | gg DB a8 Ka 
4 k 
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Pongamos un Breakpoint en 457FOC y ejecutamos la aplicación: 


Delphi - MsgBoxes El 





Unregistered! 












Vemos que pone "Unregistered", y el titulo de la ventana es “Delphi - MsgBoxes". Y 
hay un botón. Si pulsamos el botón, Olly se detendrá en nuestro Breakpoint. 











































OllyDbg - DelphiCrackme.exe - [CPU - main thread, module DelphiCr] - || 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 2 | =| 
gr44X| Kill kat $E a 
mx PUSH EBX 
DDAE Fo DPI MOLI EB, EAS 
Baias °F RF SSCA ADR EAR, EHS 
DAG EI) ee Øl CHF AL, 1 
DAP °F 15 vw FE IC JH 
DAP CEIE » ES $87 F45RR HOL EA ASCII "Registeredt" 
BadsrF1A ES 5144FDFF CALL 
Ba45 °F 1F BH 48rF4bhB MOL! EDS, ASCII "Reaistered*" 
Bags E 24 BES 640340000 MOL EA, OWORO PTR OS: CEBH+364] 
DAP °F 2A ES 451DFEFF 
DAP EZE BB FOP EE De lph iCr. 00436739A 
DAP Fal C3 
DAG EI + BS BCE MOL! EAR ASCII "Unregisteredt™ 
He457°F S36 ES 3544FOFF 
DAP °F SB BB FOP EBX De lLphiCr. 86456794 
DAP °F SC cs RETH 
peas EZ DÉI DB Gu 
DAG EZE D DE ma 
DHA, °F SF D DB BB 
DAP, EAR FFFFFFFF DD FFFFFFFF 
DAP TF 44 iE IER ENS DD agna 
Beas CEA 52 65 ér 69 v3 T|HSCII "Reaistered'*",ü 
Be457F 54 FFFFFFFF 00 FFFFFFFF 
DAG EG DIGODDDDD DD Got) 
HäAG EL 55 6E re 65 6f 6/ ASCII “Unregisteredt",& 
DAP EG DÉI DE uu 
DAP °F EB DÉI DE db 
DAG Far 55 PUSH EBP 
DAG, EG SBEC MOLI EDD, ESP 
Ba4o °F EF 33CH “OR ERA, EHS 
pieds Ee) 55 PUSH EBP 
DAP CFE re 65 PUSH 
DDAE dE de 64: FFS36 PUSH DWORD PTR FS: CEA] 
DAG E cn 64: 8920 MOLI OMWORO PTR FS: [EAxJ],ESP 
DAG E cl 33CH “OR ERA, EHS 
DAP CFE E SA FOP ED% De lLphiCr. 86456794 
DAP °F S38 B3 FOP ECH Delph iCr. 8643679 
DAP FOI) B3 FOP ECH Delph iCr. 8643679 
DAG, °F a2 64:5916 Mow DWORO PTR FS: CEAS], EDA 
Ba45 CEO ec 22 7F 4588 PUSH Delph itr. ae457F 92 
DAP °F SA 2 ES RET used as a jump to Bbd5rFaz 
DAP °F SB ^ ES &BLCBFHFF 
DAP F8 ^ EB F8 
DAG raa + B POP EBF De LphiCr.tBmnmi43Br9H 
DHA, CEO? C3 
DAP PF 34 33 OB 33 CHAR "3" 
DAP CEO DÉI DE db 
aB4erróe | Gö DE o 
4 k 


Vemos que el salto en 457F13 nos lleva al *bad boy". Cambiamos el valor de la bandera 


Z a uno y volvemos a correr la aplicación. 
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Ix Ix 





OllyDbg - DelphiCrackme.exe - [CPU - main thread, module DelphiCr] 
[c] File View Debug Plugins Options ‘Window Help Tools BreakPoint-> 


Ao 
DA, EDF 
pads EI 
pieds rF13 
DA, EI 
Be457°F 1A 
BB4SrFIF 
DAG CFE 24 
DA, rFzH 
Da, EZE 
DAG EZ 
DAG, EZ 
DAG °F 36 
BB4STF SB 
DAG EZ 
DA EZ 
DA, EZE 
DAG °F SF 
Beads CEA 
DAG CEAA 
DA, EA 
Be4o7°F 54 
pieds rFES 
Beads rFEC 
DAG 7FeH 
DA, FGB 
DAG °F EC 
DA FG 
Da, CEGE 
DAG CET 
DA, E rz 
DAG °F de 
DA, CFE cH 
Da, EH 
DA EE 
DA, EG 
DAG EG 
DA, EG 
DAG EG 
DA, FG 
DA, 7F Se 
DA Fa 
Be4o7F 92 
DAG °F 9S 
BRAS rF 34 
DAG CEO 
DAS 


4 


EET RIT 
i 





La ee =e a ele 






Running 


Hd, CEO 
DAP, EOF 
BE4E7F 11 
Be457F 15 
BE4E7F15 
HA, EI 
BE4E7F iF 
HOA, E 24 
Ba457F2h 
HA, EZE 
SE Ins 
BE457FS1 
BA45 EZE 
HA, °F SE 
DAP °F SC 
HA, °F 30 
BAS °F SE 
DA °F SF 
Baasrraa 
Be4o7F 44 
DAP, CEA 
Ba457F54 
DAP, CEO 
Hd EBL 
HA, Een 
BE4S7F ER 
HA, EG 
Ba457FeD 
HA, CEGE 
BA457F rl 
HA, E re 
DAP rr re 
Bad5rFrH 








=15) x| 


Seid vu di elio o S? 
PUSH EBs Registers (FPL) 
Ho Ee Br SOE 
debes ECH BB429234C DelphiCr. 60429340 
EDX 60045819 
BS 487F4500 MOL Ep ASCII “Registered?” ds 
ES 5144FDFF EBP BBl3FEEP 
BH gJ8r7FA45BHBH HOL ED, ASCII "Registeredt™ ESI EELEE Delph (Ce, AB42 S230 
SESS 64030090 MOL! EN, DWORD PTR OS: CEBH+364] GARE E 
ES 451DFEFF e 
5B POF EBS Blanásina EIF @@457F13 DelphiCr.B8B457F13 
ro MM M — ME M HITS 
SE44FDFF CALL CS HE ees 
Petter Ern H1 SS 6023 32bit @lFFFFFFFFI 
ze 8 OS 8823 S2bit BCFFFFFFFF) 
- S 1 FS GASB S2bit vFFDDaBaBrFFF) 
SEG T a GS maga NULL 
y l 
ee DE —— D B LastErr ERROR_NO_SCROLLBARS (Ba 
apaaaaaa DO aaeaaaaaE EFL saaee297 (NO,B,NE,BE,S,PE,L,LE) 
sci a AE Peet nee! eee STA empty 2Z.8518857189358587888e-432t 
GE Ge EE EE STi empty +UNORM 210E maaaaBanae 15581: 
EE TI den E STZ empty 1. 04349406 14969440140e-256: 
BB DB Bà Ee STS empty -MAH FFFF &a4Derna S653561f 
DB oo ST4 empty 1.41567°8125696692545Re-416' 
EU EEF STS empty -UNOR FFG 6666666 Eat 
ST6 empty &.4523859358595286561TB0m82r213f 


MOL! EBP, ESP 


YOR EHX.EBX STr empty zb 13542484351 sreasgaderle, 


64: 3928 
BSC 

5H 

52 


FUSH EBP 

PUSH 

PUSH OWORO PTR FS: CEA] 
HOW OWORO PTR FS: CEA], ESP 
AUR EAs, EHa 

FOF ED 

POP EC 

FOP ECK 


664481 AG 
ISS GES 
BEATS 1AB 


32146 f= ry [ee IUD 


1888 Cond B B BB Err HH B Bar 
1572 Prec NEAR,64 Mask l ií 






OllyDbg - 


noy, Duopo PTR FS: [EAs], EDS 

Delph iCr. 00457 F92 

3 RET used as a jump to Be457Ft 
c de 


GEES 
CHAR "a" 









DelphiCrackme.exe - [CPU - main thread, module Delp ¡Cr - [8| sl 
[c] File View Debug Plugins Options Window Help Tools EreakPoint-: = - [&] xl 


e déi X| P + 


Ad Ia ali a 











7 SS PUSH EBX Regist (FFL 

BEDS MOU EBX, EAX ^ ETAN 

~ ECH BB42934C Delph iCr. 60042934C 
Be E ED: Baendelna 


EBs BBAZSOra 













BS 45 7F 45H ASCII "Registered'*" ESP 6613F513 
BA ASTF4BOR E ES S EBF BBl3FB5C 
3 a ca EE ESI BB842923C DelphiCr.a42923C 
SES 64650600 Be OE OD CES 
ES 451DFEFF 
EE ganaeina EIP 66457F15 DelphiCr.BB8457F15 
IC 
a " eae C 1 ES 0023 S2bit BLFFFFFFFF) 
2 ES e EE ASCII "Unregistered? P1 CS @@1E 22bit BLFFFFFFFF) 
. SE A 1 SS ma23 32bit @(FFFFFFFF) 
L emt DS 0023 32bit BLFFFFFFFF) 
d S 1 FS 0036 32bit rFFDDBBGLFFF1 
an Lë G5 8888 NULL 
B DE AA | 
FFFFFFFF oo FFFFFFFF Registered! O 8 LastErr ERROR HO SHEER [ DG 
EEEE DD ppapapaE EFL a@@@8207 (HO, B, E, BE, S, PE, L, LE] 
Sc bo br 59 73 r|ASCII "Regi: STA empty 2.9510857199259507000e-4921 
FFFFFFFF DO FFFFFFFF pty 2. e- 
GC AE STi empty +UNORM 310€ BaBBaBBBS 15061 





ST2 empty 1.049494061496944014b0-2553 
STS empty -MAH FFFF S6408F08 S6535414 


55 GE r2 65 6° 6 ASCII "Unre: 
DB WB ST4 empty 1.41286781256966922458e-416 





ee SHELL eae STS empty -UNORM FFS8 BasaBaBa Fs4Dal 
e iiie ST empty 6.480622389258952861788e-213i 
SBEC : ST? empty —1.13542487951575420900+17 
seu S LEBER 3210 E r 
28 oprrasno PUSO HEHERHEEENENEESEEEE FST 1888 Cond 8 B8 B B Err 8 B8 B Bi 

` PUSH DWORD PTR FS: CEG] FEW 1372 Prec MEAR, 64 Mask 111! 


HOW OWORO PTR FS:LEHSI.ESPF 





Registered! 
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7.16.2 exif2htm.exe 


Cargamos la aplicación en ExelnfoPE y vemos que se trata de un programa Delphi sin 
empaquetar: 





L JExeinfo PE - ver.0.0.3.0 by A.5.L - 617 sign 2011.0729 lel x] 
Pie | fesar2ntmiexe Sj LG 
Entry Paine ; [pnnana4c —— lao =| EP Section: [opp gs] zs BEME 
File Offset: lnnnsEB4c ——— First Bytes: Ee op EC gn =] E As) 


^ 
ze 

= Linker Infa : [2:25 Subsystem ` [Windows GLI | 

im Filesize:  Inongeconh =| Overlay: — [Nc 00000000 options | 
SE 

dÉ 

E 





Image is 32bit executable RES/OVL : 4 / 0 % 1992 


| Exit | 
S _ Rip 


p 













Help Hint - Onipack info 


fot packed) 


16 ms. 


dh try disassemble OllyDbg (vn. ollydbg.de 1 or wits A FE 





Haciendo doble clic sobre la aplicación podemos apreciar el nag. 


cr, 


This is a shareware program, it means that you may try iE Free of charge, but if you 
like it and want bo use it, vou must buy it, You will not see this message anymore 


when vau buy Ehe product, 


Hacemos clic en OK y se abre la pantalla principal. Vemos arriba en el título de la ventana que 
estamos sin registrar. 
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= Exif2htm UNREGISTERED 





Hacemos clic en el botón “About” y en “Register” para obtener más información: 
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2% Exif2htm UNREGISTERED - [nml xl 


Script editor | HTML options | 
















ExiF2htm, version 1.07 (1 September 2006) 
fc) 2005-2006 Acritum Software, Anatoliy Kowalenko 


Web: http: facritum,compezh! e 


Pa | Newine| Space | File name | E-mail: soft@acritum. com a di 


e 


| [Defaut m 
Celia Harz [Default ~| Var E UNREGISTERED COPY! 
Script editor: 


fo zl Height (0 $| [^ No paths 
rdr | [ Maowrap [ Font 


Register | Preview! | Save | 


2% Exif2htm UNREGISTERED | - [nml xj 





File 





Script editor | HTML options | 





65 Register 


Height j0 $| [^ Mn paths 


[ Nowrap [ Font 


Par | Newline Space | Fil ———— 
Column | Horiz | Default -| 


Script editar: Cancel | 








About || Register | Preview | Save | 
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Introducimos un nombre y un código cualquiera y nos aparece el siguiente mensaje: 


b x| 
exifzhtm A 

M anne: 

[manuel Please restart EZH to check your reg infa... 


OE 
121212121212 
oma | 


** Register 








Vamos a cargar la aplicación en DeDe con el fin de sacar algo más de información: 





=|! x| 





File Dumpers Tools Options About 


[C:\Documents and Settingssusuarin*E scritori -| 2| Process | I Saale ae 

















Version: D ? 

"4.02 00415458 00000000 Unit List [from PACKAGEINFO] 
we, DE 0D41DCDO 00000000 
ZA 00406880 ` 00000000 
E Op48F8F8 00000000 
sc 24 00408390 00000000 
sé 2 00443558 ` 00000000 
wä a O04900 70 Fir m m E ET 
sc 24 zeg Dede 
GI 004500 önel: 
*1 44 0040821 Dump successfull ! :) GE 
sé 54 004083 S 
sé 00490E Else 
sé 24 004084; IPTC 
s od 00408498 ` 00000000 Dlos 

Extáctne 
sé o 004412E8 ` 00000000 SENG 
wag 00436668 ` 00000000 ExtDlgs 
wé 2 0044176C 00000000 E 
SA 00412480 ^ nononon n 
el Boolean 00401004 ` 00000000 Grids 
sé Byte 00401070 00000000 Helplntfs 
wh Cardinal D0401088 ` 00000000 dee 
el Char 00401020 00000000 les 
e) EAbort 00407986C 00000000 JConsts 
e) EAbstractE ror 00408230 ` 00000000 ee el 
Thinking ... lexifzhtm.exe [781312 bytes | 


Hacemos clic en la pestaña “Forms”. Seleccionamos TForml y vemos que probablemente se 


trata de la ventana principal. 
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Debe 3.50.02 (c) 1999-2002 by DaFixer - E | x] 


File Dumpers Tools Options About 


[C:\Documents and Settings usuarioWÉ scritori lei Process | exif2htm 


Classes Info | Units Info || Forms | Procedures | Project | Exports | 


DFM Editor 


; | object Form: TFarmil 
Left = 218 
Top = 122 

Borderlcans = = [bisystemMenu, bittinimize] 









ss tala T: E may 





ght 

S 748 
Color = clBtnFace 
DragMade = dm&utamatic 
Font. Charset = DEFAULT CHARSET 
Font Color = chvindowT ext 
Font.Height = -12 
Font. Hame ='M5 Sans Serif 
Font. Style = [] 
OldCreateOrder = False 
Position = poScreenCenter 
OnCreate = FormCreate 
PiselePerlnch = 96 
TextHeight = 13 
object files: T Lis ewe 

Left = 10 

Top 2 1l 

Width = 726 

Height = 111 

Columns = < 

item 
Caption = 'File' 
Width = 696 


Së 


Ready 23 sec, exif2htm.exe [781312 bytes | 


Seleccionando TForm2, y podemos ver que el caption es ‘Register’, vemos que están las 
etiquetas “Name” y ‘Code’, además existen dos botones al final; “OK” y ‘Cancel’. 


[Dede 3.50.07 (c) 1999-2002 by DaFixer x |= | x] 


File Dumpers Tools Options About 


[EADacuments and Settingssusuario*E scritari sie Process | exif2htm 


Classes Info | Units Info || Forms | Procedures | Project | Exports | 


DFM Sie 


Mau ODORE HE , Jobject Form: TForm2 


Lett = 272 
Top = 188 

ActrveControl = inp 

Borderlcons = [biSpstemhd enu] 
BorderStyle = bs Single 

Caption = ‘Register’ iff 
ChentH eight = 171 

Chentidth = 351 

Color = clBtnF ace 

Font. Charset = DEFAULT CHARSET 
Font Color = chyindowT ext 












Font.Height = -11 
Font. Name ='MS Sans Gent 
Font. Style = [] 


OldCreateOrder = False 
Position = poS creenCenter 
FiselsPerlnch = 96 
TextHeight = 13 
object inpl: TLabelede dit 
Left = 25 
Maa = 35 
Width = 300 
Height = 21 
EditLabel. width = 31 
EditLabel. Height = 13 


EditLabel.Caption = Name" agus 


TabUrder = 0 
end 
zl 
Ready 23 sec. exif2htm.exe [781312 bytes | 
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DEM Editor 








TForml OOOBBS9C Ee 
TForme UDUBESAA object inp2: TLabeledE dit 

Left = 25 
Top = OU 

Width = 300 
Height = 21 
EditLabel width = 28 
EditLabel. Height = 13 
EditLabel. Caption = ‘Code: aif 
TabUrder = 1 

end 

object Bitte): TBitBEn 
Left = 34 
Top =125 
Width = 75 
Height = 25 
Caption = UK 
Default = True 
TabOrder = 2 
OnClick = BitBtn Click 

end 

object Bit): TBitBtn 
Left = 181 
Top=125 
Width = 75 
Height = 25 
Caption = ‘Cancel 
MadalH esult = 2 


TabOrder = 3 
Së 


Ready 23 sec, exifzhtm.exe 781312 bytes | 


A continuación seleccionamos la pestaña “Procedures”: 


[Dede 3.50.07 (c) 1999-2002 by DaFixer f - |= | x] 


File Dumpers Tools Options About 


[E\Documents and Settingssusuario*E scritori ciel Process | exif2htm 


Classes Info | Units Info | Forme || Procedures | Project | E sports | 


Class Name TForm2 DPR | OFFS | 
i TForm | 
. | Event Controls 
arm ee | | 


EitBtri Click. 00440070 0013 








Ready 23 sec, exif2htm.exe [781312 bytes | 


Haciendo clic en Unit2 — Tform2, podemos apreciar que hay un método, 
“BitBtn1Click”, que corresponde al botón “OK” de la ventana de registro, según hemos podido 
ver en la pestaña de Forms. Además vemos que DeDe nos provee con la dirección RVA para 
ese método. Carguemos pues la aplicación en Olly: 
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OllyDbg - exif2htm.exe - [CPU - main thread, module exif2htm] = |= | x 

[c] File View Debug Plugins Options Window Help Tools BreakPoint-> -lej x 
44 X| KI 34 4] 

Em = 55 FUSH EBF X 

BE4Ab440 » SBEC HOW EPP, ESP 

Be4Ab44F . 3304 FH HDD ESP, -16 

664A0452 . ES BCA24A0a MOL! ERE 

SE SIS » ES ESé2FéFr 

Be4AR45C . H1 C9264064 MHOL EAS, OWORO PTR OS: [144962] 

664A6461 . SBR MOL EAR, OWORO PTR OS: CEAXI 

Ba4Ba4e2 | . ES 2072FDFF CALL exifzhtm.004776%94 

Bo4AR469 . SEED 90974088 HOW EC, DWORD FTA DS:r4H9792C1 euitzhtm.mmiHHc5En 

naadpmasE . H1 80954888 MOL EA, OWORO PTR DS:r4mB9esc1 

HAL 72 . HDD MOL! EAs, OWORO PTR OS: CEA] 

BE4Ab4 r5 » SBIE 2283244388 HOW ES, DWORD PTR OS: 1499428] ex Lfchtm, HA 74 

Be4Ab4 7B . ES 2LFf2FOFF 

maapmgasm . DU 053974A08 MOL! EC, OWORO PTR De: Late) ex ifzhtm. BEdARODSA 

pied pads » H1 SC364h88 HOW EA, OWORO FTA OS: C4A3668C 1 

DAD . DD MHOL EA, OWORO PTR OS: Es 

664A6450 . EB15 BAFE426a MOL! EO, OWORO PTR DS: LA49FEBBT ex Lf2htm. HEd4SFEFE 

640493 » ES 14r2FOFF 

DAD . H1 C9296406 MOL EA, OWORO PTR OS: [44962] 

HAAT . DD MOL. EA, OWORO PTR OS: LEBER 

Be4Ab43F » ES S8r2FOFF 

66440444 » ES BB4dBFSFF 

Be4AR4A9 . 8046 HA LEA EAX,OWORD PTR OS: LES 

Be4+AB4AC » Hn HDD BYTE PIR DS: [EA], AL 

BE4AB4AE » DO ADD BYTE PIR DS: [EA], AL 

DHDAUDADD . HD ADO BYTE PTR Dës CEA, AL 

mnaapmgapa . HH HDD BYTE PIR D5:LEHX1,HL 

BE4Ab4E4 » DO HDD BYTE FTR Dës [EA], AL 

Be4AR4B6 . Hb HDD BYTE PTR OS: CEA], AL 

664A64B5 . HH HDD BYTE PTR OS: CEA, HL 

BE4AB46A » BREE HDD BYTE PIR DZ:LEHX1,HL 

maadpaaBr . BEBE HDD BYTE PTR OS: FEST, AL 

664Ab4BE . HH HDD BYTE PTR OS: CEA, AL 

pid placa » DEn ADD BYTE FTR Dës [EA], AL 

BE4AB4C2 » Bn ADD BYTE PIR DS: [EA], AL 

HAAL A . HD HDD BYTE PTR Dës CEA#I1,AL 

SERIES? » DEn HDD BYTE FTR DS: [EA], AL 

BE4AB4CS » DO HDD BYTE PIR O&S:CEAKI,AL 

Be4AB4CA . HERE ADO BYTE PTR OS: CEA, AL 

HAAL . HH HDD BYTE PIR Dës LES I, HL 

BE4AB4CE » DO ADD BYTE FTR OS: [EA], AL 

DAAT . DD HDD BYTE PTR Dës FEST, AL 

664A6402 . HH HDD BYTE PTR DS: CEA#I,AL 

Be4Ab404 » BREE ADD BYTE PIR DS: [EA], AL 

DAAT . DD HDD BYTE PTR Dës FEST, AL 

HAAL . HH HDD BYTE PTR DS: EST, HL 

SERIES » Bee HDD BYTE FTR Dës [EA], AL 

664A640C . ERE HDD BYTE FTA OS: CEA], AL A 


4| SI 1mm m Cmm maar rmm nme rr uo 


A primera vista no parece ser un binario muy amigable. Busquemos la dirección 
4A0070 y pongamos un Breakpoint. 





OllyDbg - exif2zhtm.exe - [CPU - main thread, module exifzhtm] 


A 
[c] File "View Debug Plugins Options Window Help Tools BreakPoint-> -|[m| x 


ir 44 X| kl boah ai ai a 


54 46 6F ?2 60 3| ASCII "TFormz" 


= ER a 











Da 
DOUD 
DAD 
DAD A 
DAD 
BE4ARR66 
DAD, € 





















DE 5E 
DB Du 
B5 DB B5 

55 GE 69 r4 32 | ASCII "Unite" 


CHAR '^' 





















Baapnanec ae DE aa 
Baananep Gë DE op 
BaananeE SECA HOW EA», EAR 
, 55 PUSH EEF 
aadqeeri |]. SBEC MOL EBP,ESP 
Ba4nnmn?3 ||. 3309 “OR ECX,ECE 
aasqeers ||. Si PUSH EC 
aeadqeere ||. si PUSH ECX 
aadqoerr ||. Si PUSH EC 
aadqoers ||. Si PUSH EC 
aadqeers ||. E51 PUSH ECE 
aaannarn ||. 3 PUSH EEX 
aaB4ABarE |. 56 PUSH ESI 
aasqeerc ||. ` oppe HOU EBY, EAM 
aB4ABarE ||.  33C0 “OR EN, EAM 
Badnansa ||. 55 PUSH EEF 
amá4pnaasi ||. 68 53014006 PUSH 
amánsaese ||. 64:FF3a PUSH DWORD FTR FS: ED? 
amánsnss ||. 64:2920 HOU OWORO FTR FS:[CEAS], ESF 
aamánmasc ||. 8055 FC LER EDX, 
aesqeesF ||. 85683 Fsa2aanaa MOL Ep, OWORO PTR DS: CEBX+2FS] 
aesqee9s ||. ES FArSFEFF 
a64aBasAa ||. S270 FC op CHF a 
AS40003E ||... 6F24 scaonaaas 
Ba4naan4 ||. SDSS ES LEA EDX, 
amánsony ||. 5683 Fcazaaaa Epos, DWORD PTR OS: CEBM+2FC] 
ae4peaann||. ES 6279FBFF 
amanmnp2 ||. 8370 FS op CHF a 
Baa4paaBe || .« 74 78 JE 
aB4ABGES ||. Ez 61 MOL DL, 1 
aB4ABGBA ||. Al Ccr34108 HOW ERX,DWORD PTR DS: [417900] 
aRdABBBR ||. ES 2837F6FF CALL ex if2htm. D04a37Ed 
ab4abaca ||.  SBFa MOL EST, EA 
&amánmace ||. 8055 F4 LER EDX, 
Basaánmnco ||. 8683 Fea2aaaa MOL EA, OWORO PTR OS: CEBX+2FS] 
aB4ABacrF ||. ES 48r79FBFF 
aedqoen4 ||. Sess F4 HOU EDX, kernel22.7C8299F8 
aaanaapz ||. SECE MOL ERX,ESI 
Ba4naaps ||. epes MOL ECH, DWORD PTR Dës CEA _| 
@e4Aoe0e ||. FFSsi 38 CALL WORD PTR Dër CECK+EE] kerneläz, 70816058 
0344800 ||. Ser n. LER EDX,ELOCRE- arios El 
4 k 


Un poco más abajo y dentro de la misma rutina podemos apreciar la cadena de texto: 
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664A6116 . DD MOL EC, OWORO PTR OS: [EA] 

B64A6112 . FFSi F74 (ALL OWORO PTR OS: CECK+7T4] 

Be488115 . BBC HOJ EAR, ESI 

DDAUpl le , EG FS836F6FF 

66446115 . Es FCRI40b8 How EAS HSCII|"Flease restart EZH to check your reg info..." 
664A61=1 , ES BAIFFSFF 

EES . H1 SaBmpa4nptc MOL EA», OWORO PTR OS: C[4AAD36] 

EES , El 4C3FFOFF CALL ex ifZhtm. 06474870 


Esta técniqua se utiliza bastante y la solución consiste en averiguar donde almacenara la 
aplicación el nombre y el código que se introdujo nada más ejecutar la aplicación. Solo hay un 
par de lugares donde una aplicación pueda almacenar datos entre ejecución y ejecución. Esos 
lugares son o bien los registros o un archivo ini. El siguiente paso pues es averiguar donde 
podría almacenar la aplicación esos datos de forma que cuando volvamos a ejecutar la 
aplicación sepamos en que lugar se está comprobando si estamos registrados o no. 


Una vez puesto nuestro Breakpoint pulsamos F9 para ejecutar la aplicación. Pulsamos el 
botón “Register”, introducimos un nombre y código cualquiera y hacemos clic en “OK”. 


** Exifzhtm UNREGISTERED l - [nml xj 


Script editor | HTML options | 





I x 


Mame: 


[manuel 
Par | Newline| Space | File pM Height [0 el [No paths 


Column | Horiz [Defaut -| `, [ Mawrap [ Font 


Script editor: Cancel | 


y 





About || Besse | Preview | Save | 


Olly se detiene en nuestro breakpoint: 
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OllyDbg - exi2hEm.exe - [CPU - main thread, module exifzhEm] 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 


ex 44] X 







HAD 1 
HAL 7 
DAD cK 
DAD à 
DAD d d 
HAL Ss 
DAD Ss 
DIGADDD CH 
HAD CD 
AU CL 
HAD E 
mnindnpimasm 
664A0451 
B64A0436 
DAD 
B64AGBASC 
B64A44SF 
mnn 
DAD 
B64AGBASE 
HAD 
IAU € 
DAD 
B64ABAB= 
B64AdAB6 
HAL 
DAD 
B64ABAEF 
DAD A 
modnm 
DAD 
B64ABACF 
HAD 
HAL 
DAD 
DAD 
HDADDDIIE 
HgaAUDE 1 
a64AGBEr 
B64ABABEL 
B64AGBHAEF 
AUDE 1 
664AGAFS 
B64AGBAFE 
B64AGBAFC 
B64AGaBFE 
SEH 


4 


SBSS FaB2nmanma 
ES THr3FBFF 
S270 FC ma 
AFS4 Scam 
5055 Fé 

BESS FCOSHRRE 
ES 627 9FBFF 
S370 Fa op 

rá Ya 

E Bl 

Al CLra4 106 
ES 2637F6FF 
DER 


5055 F4 

sBS3 FaBzanad 
ES 4n? 3FBFF 
BBBB F4 

SECÉ 

DËS 

FFB1 38 

5055 FH 

spes FCB2Bada 
ES 2Sr3FBFF 
2E55 FH 

DL 6 

BERS 

FFSi 33 

2615 FRSS4A ee 
DÉI 3 

5045 EC 

GK 


= SF ase see 


b- Il 











wt 4:43] a 
PUSH EBP 


MOL! EBP,ESP 
AUR ECA, ECA 
PUSH ECA 
PUSH EC 


ai 


PUSH ESI 

HO EBs, EAS 
SOR EAA, EAS 
FUSH EBF 
PUSH 
PUSH DWORD PTR FS: CEA] 
MOU DWORD PTR FS: LEBSI.ESP 
LEA ED, 
HOW EAS. OWORO PTR OS: [EB++2F8] 


CHP E 
JE 
LEA 



















EDX, 
EA”, OWORO PTR OS: CEBR+2FC] 
CHF H 


MOLI OL, 1 
MOL EAS. DWORD PTR DS: [411900] 


MOL ESI, Es 
LEA EDX, (LOCALES! 
HOU EAX, DWORD PTR OS: CEBX+2F8] 


MOLI EDM, 
HOW EA, ESI 
MOL ECs, DWORD PTR OS: CEA 
CALL DWORD PTR OS: [ECX+28] 
LEA ED, 
HOW EA”, DWORD PTR DS:LEBsTZFCÉJ 


MOLI EDM, 
MOL! EAR, ESI 
HOW ECs, OWORD PTR OS: [EA] 
CALL OWORO PTR OS: CECK+361 
HOW EDs, DWORD PTR OS: C4A95F ea] 
HOU EDs,DWJDORD PTR DS: FEEDS 
LEA EA”, 
MOL! Ete 














ex Lt cht, Bd BOO 
ex ifchtm,. 6458028 
ex ifchtm. S6458028 
ex ifechtm. G6458028 
ex ifchtm. S645e028 
ex if2htm. 66458028 


ex ifechtm. DAD 


exifzhtm. 66433090 
euifzhtm.BaB49FEFC 


enif2htm.Bmad383npar 
enifzhtm.BBa4d9rFEFC 


ex ifechtm. DAD 
ex ifechtm. S6435A6C 


ASCII "reginfo. dat” 


Ix [x 


Vemos que hay un conjunto de variables que son empujados en la pila. Después aparece 


un CALL en 4A0095. Si seguimos pasando por el código y nos detenemos en la dirección 
4A009A, podemos ver algo interesante en la ventana de información: 


OllyDbg - exif2htm.exe - [CPU - main thread, module exifzhtm] 





[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 


Baapnma 1 
BE4ABRTS 
aag4naars 
aa4naar e 
Bagar r 
BE4ABRTS 
aagd4naadr?2 
aa4naan 
Baghiar EB 
Baqir E 
am4naarE 
DOUD 
HAD) 
BE4ARRSE 
DOUD 
DOUD. 
BR4ABREF 
BEA S 


EEEISSER 
HAD 
Bia pam 
Dot 
DOUD 
DAD 
BE4ABRES 
DOE 
aa4naaBgrF 
DAD A 
BE4ABRCE 
DOUD 
aa4naacr 
DAD 
DAD 
andhaa 
aa4ABADE: 
DAD 
BE4+ABHE1 
aag4naaE? 
aa4naaEc 
BR4ABREF 
BE4AGEF 1 
AE4AREFS 
ARAARAF A 
4 


Stack S5:CEG1SEBSCI=869C4F ep, 


ee dd) X 


B FC 
56983 FSaeeeue 
ES rHr9FBFF 
8370 FC ma 
Bra4 aCcnmaanma 
S055 FS 
SBS FCO2006b6 
ES 627 9F BFF 
S370 FS ma 


Al COPS41 68 
ES 2osrFÉFF 
SBF 

S055 F4 

2623 FSmn2ansa 
ES 467 9F BFF 
5B55 F4 

OBCE 

5643 

FF51 38 

S055 FH 

SB82 FCB2aBnmB 
ES 2S8r9FBFF 


51 38 
AR15. FASAdARA 


dL 


eje rp -p > 


PUSH EBF 
MOL EBP,ESP 
MOR ECs, ECA 
PUSH ECA 
EC 


I 
Mow EBs, EAs 
ADR EAS, EAS 
PUSH EBF 


PUSH 
PUSH OWORO PTR FS: CER] 
Kär BEN HTH PTR FS: (EAR), ESF 


BU Ce RAR PTR OS: CEBA+2F8] 


ED, 
EA”, DWORD PTR OS: CEBR+2FC] 


CHF B 


JE 

Mou DL, 1 

HOU EAS, DWORD PTR DS:I4i173CCl 
CALL euiFzhtm.BB848STE4 


ee ED SSC TOANEN 
inm ER Water PTR OS: CEBA+2F 3) 


MOL! Loge ` m 


MOL EN, ESI 
HOW Er, DWORO PTR Dër CEAXI 
CALL ea: PTR Dës CECK+S9) 
LEA EDX, EEGCHE ei 

MOL EAS, OWORO PTR DS: CEBX+2FC] 


MOL! a `` em 


MOL EAS, ESI 

MOL! Ec}, DWORD PTR OS: CEA] 
DWORD PIR OS: CECK+33] 

HOL Foes. One PTR NS: 14ASEF R71 


(ASCII "manuel" 


eu ifzZhtm, BA45889C0 


eu ifzhtm, Be45589C 


eu ifzhtm, 50435097 


ev if-htm. HAdAAN ES 





ii 
te 
3 
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En el 99.99% de los casos estamos ante una comprobación por parte de la aplicación 
para verificar si hemos introducido 'algo' en el campo texto. El hecho de que EAX sea igual a 6 
podría indicar que estamos comprobando la longitud de la cadena de texto. Vemos que justo a 
continuación se comprueba si EAX es igual a cero y después viene un salto. Si continuamos 
pulsando F8 vemos que aparece también el código que hemos introducido: 


OllyDbg - exi2hEm.exe - [CPU - main thread, module exifzhEm] 
[c] File View Debug Plugins Options BreakPoint- > 


ix déi X| KI A +: 








Window Help Tools 


DAD Cl 
BEARERS 
DAD E 
DAD E, 
DAD r 
GISEIS ISS 
Banana 
DAD CH 
DAD CR 
DOUD CL 
Ba4naadE 
Ba4nanaa 
DAD) 
BEFARBSE 
DAD 
DAHL. 
BE4ARESF 
BEARS 
Banana 
Ba4nansE 
Be 4+ABBA4 
pid pm 
pipa 
Ba4nanE2 
DAD 
BE4ARBES 
DAD 
BE4AEGEF 
papam A 
BE4ARBCE 
DAD 
Ba4nancrF 
papa 
HAD € 
SE (SIGI 
DAD 
DAD 
BE4AGGE 1 
BE4ARGE? 


6 

64:FFS8 

64: 5928 

2056 FC 

SBSS FaBanmanma 
ES vHr3FBFF 
S370 FC ma 
DEG scamamaad 
5055 FE 

5693 FCB2Bada 
ES 627 9FBFF 
S270 F8 ma 

r4 Ya 

B2 Bl 


Hi CCr94160 
ES 2osrFÉFF 
SBFH 

2055 F4 

23683 Fanzand 
a 4ar3FBFF 


5 FH 
aBS2 FCB2Bada 
ES 2eraFEFF 


PUSH EEF 
MOL! EBP,ESP 
HOR ECs, ECS 
PUSH EC: 
PUSH 

PUSH 

PUSH 

PUSH 

PUSH 

PUSH ESI 
HOW EBs, EAS 
ADR EAs, EAM 
USH EBF 


PUSH 
PUSH OWORO PTR FS: CEAXI 

MOLI OWORD PTR FS: CEAXJ],ESP 
LEA EDS,ELOCHE.11 

MOL EAS, OWORO PTR OS: [EBX+2F9] 


CHF H 


LEA ED», 
HOW EAS, DWORD PTR OS: CEBA+2FCI 


CHF a 


MOLI DL, 1 
MOL EAS, DWORD PTR DS:L41790C] 


HOU EST, Es 
LEA EDs, ELOCAL. 21 
HOU EAX, DWORD PTR DS: CEBX+2F8] 


MOL EDX, 
MOL ERX,ESI 

MOL EC, DWORD PTR DS: [EAx] 
CALL DWORD FTR OS: CECK+S9) 
LEA EDX, 

HOU EA}, DWORD PTR OS: (EBX+2FC) 


ex ifechtm. DAD 


ex ifchtm. DAD 


BE4ASGEC 
BE4+ABBEF 
BE4+AGGF 1 
BE4ARBFS 
AAJAHAAF F, 
4 


EE 
Stack Ss:[aBl13EB2S]-889DB8814,|(BSCII "121212121212") 


MOL! EDS, 

HOW EAR, ESI 

HOW ECRk,DWORD PTR OS: LED) 
DWORD PTR OS: CECAK+33) 

Hi! FOS. OIRN PTR MS: 14AS5F 1 


ex ifechtm,. B643809C0 


1 38 
BRIE FASS4AAA euif?htm.RmnmdnnrEens 





EAX vuelve a ser comparado a cero (ahora es ocho), y salta si es cero. Después 
pasamos un conjunto de CALL's. Cada uno de esos CALL’s cargará otra vez nuestro nombre y 
el código como argumentos. Pulsamos FS hasta llegar a 4A0101: 


http://masteracsi.ual.es/ 


OllyDbg - exifzhEm.exe - [CPU - main thread, module exif2zhtm] 
[c] File View Debug Plugins Options Window Help Tools  BreakPoint-7- 


See A4 Si KI ots EE all 9: 





Ix [x 


DAD 
BRSARBBS 
DOE 
DOE 
SE4ARGBF 
DAD d 
DAD 
BE4ABBCS 
BE4AR8CF 
a684A6604 
aa4ABBEDr 
HAD 
DAD 
aa4naapE 
Gad4ABBE 1 
aa4nanE? 
BRS4ABBEC 
BESABBEF 
BE4ARGF 1 
AE4AREFS 
DAF, 
piana 
paanmarE 


e370 F8 Bä 
r4 Ya 
B2 ni 


Al COPS41 66 
ES 2637FeFF 
SBFH 

S055 F4 

3683 FS020000 
ES 467 9FBFF 
SBES F4 

ZECE 


DOG 
EIS 


Fa 
2693 FCa2ansa 
ES 28r9FBFF 
SB55 FH 
SBC6 
Go 
FFS1 38 
5615 Fase4Aee 
DÉI 3 
5045 EC 


CHP 
MOLI DL, 1 


HOW EA, DWORD PTR DS: [417900] 
MOL EST, EAH 


LEA ED. 


r CLOCAL. 3] 
MOL EA, OWORO PTR OS: CEBX+2F8] 


fo eth, ee 
MOL EDS, 


MOL! Es, ESI 
MOL EC, DWORD PTR OS: LED) 
CALL DWORD PTR OS: CECK+39) 


LEA EDs 


r ELOCAL. 41 
HOW Ep, DWORD PTR OS: CEBX+2FC] 
CALL 


MOLI EDS, 


MOLI ES, EST 

MOLI ECA, DWORD PTR OS: CEA 
CALL DWORD PTR OS: [ECX+38] 
MOL EDS, DWORD PTR DS:L4895FB1 
MOL EDS, OWORO PTR OS: TED] 


ex ifchtm,. BO4AACES 


i LEA ERX, i 
EEE). ES 63014995 HOU ECX ASCII "reainfo.dat" 
amánsinm& ||. ES BB4TFEÉFF CALL 
@S4AG1e8E ||. SBSS EC MOL EDX, 

@B4AG1GE II, MOL EAR, ESI 

aaanniia8 ||. HOU EC, DWORD PTR Dës LEON! 
Baanniis ||. CALL OWORO FTR OS: CECH+74] 
a@e4aeiis ||. MOL EAX, ESI 

amánsiiy |. ES FS36FSFF CALL 

Bgaansiic ||. ES rcamidBpans MOL EAS 

amannizi |. ES BBiFF9FF 

amanmizé ||. Al 36804496 HOU EAX, DWORD PTR OS: [4A8D34] 
ae4agize ||. ES 4CSFFOFF 

a64A6134 33C HOR EAS, EAH 

aadnamiza ||. FOF EDX aaBl3EETS 
aadnaiaa ||. FOF ECX Baa1S3EE7S8 
Baanniaa |[. FOF ECX ABÍSEE?S 
ab4ab1=S ||. : MOL DWORD PTR FS: CERN), EDS 

ab4abiss ||. 68 PUSH 

268446130 &D45 EC LEA EAS 

aadabid4a ||. ES SF44FEFF CALL 

a6496145 |. 2045 Fa LEA ERX, 

44404145 z HH Datt Holl FOX. a 


4 


ASCII "Flease restart EZH to check your reg into..." 





Llegados a este punto parece que la aplicación va a crear un archivo de datos. Seguimos 
pulsando F8 hasta llegar al call en 4A0112. Una vez pasado, vamos a la carpeta donde se 
encuentra nuestro ejecutable y vemos que efectivamente se ha creado un nuevo archivo: 


exiFzhEm 


reginFa 
Archiva DAT 
| KB 





Abrimos el archivo para ver lo que contiene: 
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P reginfo - Bloc de notas -loj x] 
Archivo Edición Formato Ver Ayuda 





Ahora ya sabemos donde se almacenan nuestros datos. Vamos a Olly y busquemos la 
cadena de texto “reginfo.dat”: 





OllyDbg - exif2?htm.exe - [Text strings referenced in exif2htm:CODE] 
[R] File View Debug Plugins Options Window Help Tools BreakPoint-> - [&] x| 
gr 4 X| KI wäi E | a =" 


Disassembly 
ASCII "—",.&8 









Address 


BH4SA5E5 
BA49ASF 4 
Be4 90988 
Be490BS? 
DAD rr 
BH4 90631 
SE SARS 
BH4 SAB 95 
Bid SABA 
8H43ACHE 
Ba49ACS4 
DD ck 
HAD 
Ba43npnE2c 
HOAOUE 2 
Bid SHEA8 
Bid43pHEBC 
BA49AE Cp 
BpadapEs] 


84 9HE 98 
aadoor Or 













Tent string 








EDS, eu if2htm. DDAOHE 2 
HOW EDR euLtähtro, HA2DE A2 
HOU EA, eu ifžhtm. B64AACSC 
MOL ED, en ifžhtm. 0ġ49AESC 
MOL EDX, ex ifžhtm. 8649HE cp 
MOU ED, ex ifžhtm. 0ġ49AES6 
MOL EC, ex ifžhtm. 8649HE9C 
MOU EA, DWORD PTR SS: [EBF-8] 
HOU EAS, es ifžhtm. 86490EBe 
HOU ED, es ifžhtm. HRAODE et 
ASCII "Unregistered Use™ 
ASCII "r", 6 

ASCII "dd.mm.uuuu",n 

ASCII "hhinn:=="”,0 

ASCII "1.87",8 

ASCII "1 September 2688" 
ASCII 4 

GSrTT "renintn dar"! A 


ASCII "Unregistered User" 
ASCII "dd.mm.uuuu" 

ASCII "T38" 

"hh:nn:ss" 















H reginto. dat 


H on] 


ASCII "This is a shareware program, it means that you may try it free of charge, but if 
ASCII " UNREGISTERED" 
















Vamos al código y ponemos un Breakpoint: 
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OllyDbg - exif2htm.exe - [CPU - main thread, module exif2htm] 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 


ex 44] X 









p64S9ABEO 
bE49HBES 
Bag ABET 
Bid 3HBEC 
B64 2HBEF 
BB4'3BEF 1 
B4 AEF 


















Be äl 


2945 FE 














Al CC?94188 
ES FSSEFÉFF 


eje HU] a] > 


MOL! OL, 1 
MOL EAS, OWORO PTR OS:04179CC] 


EAS 















MOL! 
HOR EHS, ER 
PUSH EEF 


PUSH ex ifZhtm. 66490064 
PUSH DWORD PTR FS:rEREJ 






















aad SBF? 6d: EE ZO 
aad S0BFA 64: 2920 MOU OWORD PTR FS: CEA%1, ESP 
aR49ABFO 2045 E4 LEA EA, 
BS MOU ECX, ASCII "reainfa.dat" 
bad CES 2B15 HOU ED: DWORD PTR Ds: [4AA058] 
aad SCAB Es AGSCFEFF 
Baasnciam E4 HOU EDM, en ifZhtm.a843885C 
6494013 BB45 F8 HŌU EAK, 
aR4%9ACIE SBBa MOU EC, OWORO PTR OS: LERKJ 
Eë FFS1 68 CALLE DWORD FTR DS: [EC*+68] 
aad SACie 5645 ES MOL EAM, 
an4%AC1E SB1a HOW EDS. DWORD PTR DS:LERXJ 
Aad SACs FFE2 14 CALL CWORD PTR Ds: [EDX+141 
aR49ACZ3 Sore az CMP EAM, 2 
Ee AFSC 2Eeieeaa  |.JL a NM 
aad Sacer 040 EB LEA ECH, 
aad Sacer BA aieeeaaq HOW EDM; 1 
aad SACs SB45 FS HOU EAM, 
EE 2B18 MOU EB! DWORD PTR DS: CEAX] 
EE FFE3 ac CALL DWORD PTR DS: CEBH+C] 
EE ee 5645 EB 
aad SACSr Ce 
BadSnc4n S040 nc 
an49AC43 3302 
an4%AC45 2B45 F8 à 
aad SACs 5618 HOU EBX! OWORO PTR OS: LERXJ 
BadSRnc4n FFE3 ac CALE DWORD FTR DS:rEBEx«C] 
aad SAC4o 2845 DC HOL ERE, enifzhtm. 004AB153 
AAJ ACSA SA POP EDH ae SEEPS 
BBASRC51 ES B&F3FFFF en i£2htm. BB499FDC 
DAD SACH TEST RL,RL 
AA4 ACSS eFs4 FCeeeeaa | JE oe eren 
aad SACSE 040 Dë LEA ECH, 
an4%ACE1 BA 1000008 HOW EDM, 1 _| 
Aad S06 SB45 FS Mow ER, 
aR49ACES 2B18 MOU EEX, DWORD PTR OS: CEAX] 
aad SACK FFE3 ac CALE DWORD FTR OS: CEBH+CI = 
Hid SoA DAF Te Hn FAX. 
4 d 


Cerrarmos la aplicación (cerrando la aplicación y no cerrando Olly), reiniciamos la 
aplicación a través de Olly y nos detenemos en nuestro Breakpoint. 


OllyDbg - exif2htm.exe - [CPU - main thread, module exif2htm] 





[c] File View Debug Plugins Options ‘Window Help Tools BreakPoint-> -|| x 
Lex dd) A 








ES 











Lal il 





GE =: 





AAE Ala 


HOW EDS 

















































ASCII "reainfo.dat" 


Baa*sHcas 2815 MOU EDX, DWORD PTR DS: [4AAC58] 

BB4SHCBB ES AASCFEFF 

GA 5655 Ed MOU ED, 

ES Ge SB45 F8 HOU EAS, 

ES Get SE68 HOU EC, DWORD PTR DS: CEA] 

DAC FFE1 &8 CALL OWORO PTR OS: CECK+68] 

GAA ACIE 5645 ES MOU EAS, 

Aa4SAC1E &E1B MOU ED, DWORD PTR DS: CEAX] 

EE eg FFE2 14 CALL DWORD PTR DS: [EDX+14] eu if2htm.BB841C148 
EE e SoFS a2 CMP EAR, 2 

an4AACZE @FEC ZEGiaaae | JL a sten 

EE ele S040 Ea LEA ECH, 

EE e BA Gipooeee MOU EDM: 1 

Ba45nca4 &B45 F8 MOU ER, 

EE CH &E18 HOW EBX, DWORD PTR Dër ED? 

ES e FFE3 ac CALL DWORD PTR OS: CEBH+C] 

EE eg 5645 EH MOU EA, 

BB4SHCaF Ce PUSH ES 

Ba45nc4a S040 DC LEA ECH, OMORO PIR SSrLEBP-241 

EE Gett S302 WDR EDM, ED eu ifZhtm. 0041718 
EE Get SB45 F8 HOL ERE, 

Ba45nc48 &E18 HOW EBX, DWORD PTR Dër ED? 

BBa4Snc4n FFE3 ac CALL DUORD PTR DS:LEEEX4C] 

BB4SHC4D 2845 DC MOU EA, 

EE e SA POP EDX AB13FDCC 

4049AC51 ES S6FSFFFF CALL exifzhtm. 66499F0C 

EE e SACH TEST DL, AL 

AGA ACSS GEZA Froen | JE i een 

Aad AASE 040 Dë LER ECH, 

Aad ACEL EA BiaBaaan MOU EDM, 1 

EE e SB45 F8 HOU ER, 

EE e 2818 MOU EEX, DWORD PTR DS: CEAX] 

BB4SHC6B FFE3 ac CALE DWORD PTR DS: LEBE4C] 

Ba4S5RnCc6E 2845 Dë How EAS 

GOAL ES FEFFFFFF CALL 

EE ed SACH TEST DL, D 

EE ed BF84 Drooooeg | JE 

BB4SDC7E Cep 4CBc4nea op MOL BYTE PTR De:L4nnc4cl, G 

BB49HCSE &D4D D4 LEA ECH, DWORD PTR SS: LrEBP-261 

EE e S302 “OR EDM, EDM eu if2htm.BB8417H18 _| 
Ba4Sncaen SB45 F8 HOU ER, 

Ba45ncasD &E18 HOW EBX, OWORO PTR DS: CEO? 

Ba4S5ncaF FFS3 ac CALL DWORD PTR DS: LEBE«C] = 
ARABI ARES Dé MAL FAH. 

4 A 





(49AC26) no saltamos. 


Pulsamso F8 para ejecutar el código paso a paso. En el primer salto condicional, 
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OllyDbg - exifzhtm.exe - [CPU - main thread, module exifzhtm] 


[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 







Be49AC85 
a4 IACHE 
Be4+9AC18 
Be49AC13 
DAC Te 
Be49AC18 
DATE 
Be4+9AC1E 
DAHL 20 
DA 
aga smHcze 
Baaa43Hc2c 
DAC ZE 
DAC 24 
DAHL 
DAHL 20 
aag SACE 
aga aspcsrF 
agaapc4n 
agaapc43 
agaapc45 
DAC AC 
DAC An 
agaspmc4nD 
agaspmcben 
a649AC51 
DAC Ee 
DAHL 
8e49ACSE 
46494861 
Be4+90C66 
agaapces 
DH 
agaaspceE 
Da dl 
DH de 
GEES Ier 
agaspmc?E 
DAHL 
DAHL 
DodODC On 
agaapcen 
aga a3pcsrF 
mm E 
d 










ex 44) Xx 


ES 
BB15 
ES BH 





BH Hi 
5645 
BB18 


5 

ES Ge 
DACH 
Bra4 


DO AO 
SCFEFF 













Ed 
FE 


ES 
FE 


14 
Be 
eEB1aBaas 
EB 
BERBEE 
F8 

Bac 

EB 

Dc 

FE 


BC 
Dc 


FSFFFF 
FCOBBBBa 


S040 na 


BH Hi 


5/5/51515]5] 


5645 FS 


2613 
FFES 
2645 
ES FE 
S405 
ara4 
Cees 
2040 
3302 
5845 
3613 


FF53 
ARSS 


ac 
Da 
F7FFFF 


DC DO 
4CAC4ABE B 


L4 
FS 


BC 
ne 


| Il 















& MOV BYTE PTR DS: C49AC4C), 8 












oy [E Al 7 


MOL ECH, 
HOW EDX, OWORO PTR OS: Tano 


MOL EDH, 
MOL EAH, 
HOU ECH, DWORD PTR DS: CEAN] 
CALE DWORD PTR OS: CECK+62) 
MOL EAH, 

HOW EDX, OWORO FTR Dës CEAXI 
CALL OWORO PTR OS: CEDK+14] 
CHF EAM, 2 


Lent Etk NIORE PTR Se: CESP-201 
LEA ECH, 


HOU EDS, 1 
Mow EAR, 
HOW EBS, DWORD PTR OS: CEAxI 
CALL OWORO PTR OS: CEBH+C] 
MOL EAA. 



























MOL EAH, 
HOW EBX, OWORO FTR Dës CEAXI 
CALL OWORO PTR OS: CEBR+CI 
MOL EAH, 
POF EDX 


CALL 
TEST AL,AL 


ex if2htm. @G499F00 
E 
LEA ECH, 


MOL! EDX, 1 
MOL ERS, 
MOL EEx, OWORO PTR OS: CEA] 
CALL DWORD PTR OS: CEBR+C) 
Mow EAS 


CALL 
TEST AL, AL 
JE 



















LEA ECX, DWORD PTR! SS: EEr AN] 
SOR EO, EO 
HOU EAS, 
HOU EBS, OWORO PTR OS: CEAS] 
(CALL OWORO PTR OS: CEBR+CI 
Hr EIS. 


realizar una serie de CALL’s con ellos. 





ASCII "reainfa.dat" 


exifchtm. 6410148 


exifzchtm. Dal pl 


Be1SFOCC 


exifchtm. @6417ALs 


= 


B 
P 


En el siguiente conjunto de instrucciones nuestro nombre y el código son cargados para 


El siguinete salto condicional en la dirección 49AC58 si lo vamos a tomar. Pulsamos F8 
y vemos hacia donde saltamos: 





OllyDbg - exif2htm.exe - [CPU - main thread, module exif2htm] 
[c] File View Debug Plugins Options 


ex 44| X 







pad SACSS 
DAHL 5E 
Had 3B 61 
pad ACES 
BE49AC89 
DAOU EE 
Ba49nceE 
Bpa49nc? 
DAODC ce 
DAHL CD 
DAHL E 
BE49ACS5 
BE49ACSS 
DAD GH 
Ba49ncsu 
Bpa49ncsF 
pad og 
Had og 
aag ACSA 
GIS SACIF 
Bed SACA2 
Be43ACA? 
DAD DH 
Bad SACAC 
DAHL HE 
pad agr Ba 
Be45ACE? 
GIS ACEC 
Be49ACC1 
Be49ACCE 
Be49ACCC 
pad SACO 
pad SACO 
DAC DA 
DAD 
Be49ACOS 
B64SACOA 
B64SACOC 
Ba49ncDE 
pad amr ES 
Had 3B EH 
pad acra 
BE4 SACS 
B64SADBA 
Ane one 
4 





a 
D 


Vv 


A 


Na 


A 


D 


3 


D 
mw 
D 
D 





DE Ga 





FB 


S040 na 


BH Hi 
5 


5 
ES FE 
DACH 
araa4 
Cees 
2040 
3302 
2645 
3613 
FFES 
SB55 


Ba 

ES 539 

2040 

BA ai 
5 


E 

ES GC 
Al 

ES 9E 
2615 
29440 
zC 46 
r4 BH 
2C BC 
r4 1E 
2C Gz 


r4 BE 
EB 2 


4 
Cres 4+6AC4Ahe8 ol MOL OWORO PTR OS: [4AAC487, 1 


EB 22 


Cres 46AC4ha ee) MOL DWORD PTR DS: FA4BBCA81, 2 


EB 16 


Cres 42804466 3) MOL! DWORD PTR OS: [4AAC487,3 


HD 
FS 


F7FFFF 


DC Dn 
4CAC4HHE A 


D4 
Fs 


ar 
D4 


SLHCABBH 
a39FGFF 
Da 


BEEBE 
FE 


"3FS6FF 


SEFSFF 
4epnc4pBaa 


2 FA 


>| Il 


JE 
p MOL BYTE PTR OS: EA4BBCAC, B 








Window Help Tools 
+ IIS a 


LEA ES, 
Mow! ED, 1 
MOLI EAS, 

MOL EBS, DWORD PTR OS: [EA] 
CALL DWORD PTR OS: CEBX+C] 
Mow EAS 


CALL 
TEST AL, AL 


béi =: 




























LEA ECH, DWORD PTR SS: LEBP-2C1 
“OR EDX, EOS 
HOU ERX, 

MOL EBS, DWORD PTR Dës (ED) 
CALE OWORO PTR OS: CEBR+C] 
HOU ED}, 
HOU ERX 


LEA EC, 
MOLI ED, 1 
MOL EA. 

MOL EBS, DWORD PTR OS: [EAS] 
CALE DWORD PTR OS: CEBX+C) 
MOLI EOS, 
MOLI EA 


CALL 
MOL EAX, DWORD PTR OS: C4AAC40] 


CALL 

MOL EDs, DWORD FTA OS: [4AAC46] 
MOL AL, EYTE PTR DS: LEDSTERS-6 1 
SUB AL, 46 


SUB AL, BC 
SUB AL, 2 














B BH 
CTAR 4AAC4AAA EE HU Pier PIR Tiss:Taàgannm481.-1 


BreakPaint- > 







ex ifchtm. DAD ZC 
exifchtm. 86410118 


ex ifchtm. DAD ZC 
exifchtm. 86410118 


enif2htma DALL 
enifzhtm.Bmad1Cc11B 


Switch (cases d6..54] 


Case 46 (°F') of switch Ba4encpa 
Case 54 ["T"] of switch BB4SACOA 
Case 52 ("RR") of switch mBadancpa 
Default case nf switch DD Tu 
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[> 


hen 






OllyDbg - exif2htm.exe - [CPU - main thread, module exif2htm] 
[el File View Debug Plugins Options . Window Help Tools. BreakPoint-7 


ei d vd Jal + aeua] 


01 MOU BYTE PTR DS: L4BBC4C 1, 1 
HOR E 


















46499047 
BE49AD49 ES REÉSFFÉFF 
B6849A04E reb 

Hagy ALIES | . LES m2a3FeFF 
PEER S c 03308 ——— 

















BB1SFDCC 





De | . 

De | . 539 POF EC BISEDE 
GH49A05E |... 59 aglsFDCC 
Gea asmpnsr 64: 8914 


BB4onnes | .- EB BH 
Gd4onnDe4 | .^ ES SBSFF6FF 

















gud sage . ES EEOZEGEE 

Ead sape >» BB45 F8 H 

684348071 =- ES SESAQF6FF 

Badges . S030 4CAC4ARR Be 

DAD O we rd dl E: 
gaaanrF . BS DE dOp ASCII "This is a shareware program, it means that you may try it | 
448494054 , ES ErraFSFF exifehtm H32SHEH ` 

DAOU . SB45 FC OW EAR, 

giadsamsc . SBSH BESudadadnt MOL EA, OWORD PTR OS: EEBETAESI 

[adds . Be hi HO DL.,1 — IS SS 

6494074 . ES 3BCBEFEFF CALL e 

Bad pgs . S055 CS LEH 

giaqsnapac . Al 5aGBpc4nmad Mow 

44842404 1 . ES 6ECCFBFF CALL e 

Bia smummes 2045 CS LEH 

Ema spam S BA rCBHF439udg Mow ASCII " UNREGISTERED" 
gia sad ES BSSAFEÉFF CALL e 

Haad SAEs . SBBB5 [a HO 

Badges . Al B5BBc4ngan HO 

Hed HDEE , ES SACCFEFF CALL 

DAD * 6A FF PLUSH 

Ae 900C2 .  8B45 FC MOLI EF 

pia sm ES 3234FCFF Hier E 

DACH 55 F i =F [hund = BelsrFDma 
GadSRDCE . ES C44EFSFF $ tL) OraghcceptFi les 
Ba4 3008 . ES FFüümndad 

684294005 . Be Äl 

Hasa | . Al SCcBEd988 ; DS: C49GE8C] 

DAOU ES BSBSFFFF 15159 

E4900 1 H3 S4AC4A66 : [4AAC54], EHE 

Baa sues Cres GCAC4AGE 61) MOL! OWORO PTR DS: [4AACSE7, 1 





üe4snpra | . $306 
EE ee ER POP ED! aaisFDCcc 
ARASONFS ES POP FES AAT SETI, 


: ji 


Vemos que nos estamos acercando al “bad boy”. Reiniciamos la aplicación y esta vez 
no tomamos el salto en la dirección 49AC58. 


ADR EAs, EAS 


OllyDbg - exif2htm.exe - [CPU - main thread, module exitzhtm] 








[c] File View Debug Plugins Options Window Help Tools BreakPoint-> -lel x| 
a 44 X| KU win BI ai BH 

SEET SA HOL EBX, DWORD PTR OS: CERAM] ex ifchtm, DAD Reales (FPL i 
BB4SRE4H FF53 BC DWORD PTR DS: LEBX+C] ex if2htm. 00410116 WEE 

Ba4onc4n &B45 DE HOU ER, Bap 

SACS oer? CALL exifzhtm.EB499FDC j 

BB4SAC5S Sca TEST AL, AL Sea ee ee 

EEN BFe4 ErCoonoon | JE en iFêhtm. G2490060 e en @G1SFELC 

BB49ACEE S040 ns LER EC, Go ET 


p64>9AC61 
SEKR 5645 FS 
SEKR ; 

Be43AC6B FFES BC 
BE4+9AC6E | . | 2645 D 
BE49ACr1 ES FEFrFFFFE 
HAH Ce, Dag 

BE4+3ACTS BFS4 DD 
HAH € , | CEGE SCAC4+ARA B 
BE49ACES D4 


BA &BiBBaggg NOW EDX, 1 
MOU ERX,BWBRB PTR SS: CEBP=8] 

MOU EBX, DWORD PTR DS: IEN? exifzhtnm. DAD ZC 
MEN DEN PTR_OS: CEBH+C] exifzhtm. aa41C118 


TEST AL, AL 
B MOL BYTE PTR OS: E4BBCAC1, B 


LEA EC}, DWORD PTR SS: LEBP-2C1 


Hado9o474 enif2htm.mnado9474 
BA49ACES ex if2htr BA49ACES 


ES #825 32bit BLFFFFFFFF! 
CS BBlB S2bit BLFFFFFFFF! 
55 mmH23 32bit BLFFFFFFFF! 
OS 60623 S2bit BLFFFFFFFF! 
FS ob 32bit rFFDFamBarFFF) 
G5 malas HULL 


GE ed ese um ROR EDs EDX LastErr ERROR SUCCESS (000000) 
GOJ ACEDO | . BE MOU EBX. DWORD PTR OS: CEAX] ex if 2htm. BBABZ2CE ABBBBZB6 (NO,NE,NE,A,NS,PE,GE,G) 
GE . | EFE ac CALL DWORD PTR DS: LEBX+C] exifehtm. 80410110 empty -UNORM B97C 01050104 Gong 
aadsaces | | | BS Scpc4nag HOU ERX, Ed de 

aadsncen ES ESSIFEFF CU ala 

BBa4SHCSF 2040 Dë LER ECH. EN 

BBaaSncha BA Ging MOM ED 1 dre 


Be4+90CA? 
Be43ACAA 
HAH 
Be43ACAF 
Be4+9ACB2 
Be4+3ACE? 
BEd4SACEC 
BE49ACC1 
madame 


SCSSFGFF 
40004080 
| SESEF EFF 


BB15 


MOL! EAR 


HOW EBX, OWORO PTR OS: TED) 
CALL OWORO PTR OS: LEBX+C] 


MOL ED. 
MOL! EAR 


euifzhtm, 66482200 
eu ifzhtm. 884101148 


MOL EAX, DWORD PTR OS: [4AAC44] 
MOL ED, DWORD PIR OS: [4AAC44] 


empty 1. BEID 
empty 1. BBB 


BEBE 
1372 


32146 
Cond B B B A 
Prec HEHR,64  Hask 


Kai 


Err A # 


HOU AL, BYTE PTR DS: CEDs+EAs-6] 
SUB AL, 46 


JE 
SUB AL, GC 
SUB AL, 2 


BAJATE | . | Siddee FA 


BE4SACDA | . | 2C 46 Switch (cases 46..54) 
Ba49HCD2 | el 14 BA 
madonHcD4 | . DC 
BEd4SACOS | . 
6649AC03 

DAHL 

BEdSACOC | v| EE 24 

Fidi ANNE CAB dra mimo panem PIR NS: 1daArdA7. 1 Case dë, EL ot switch Al 
1 k 


Jump is HOT taken 
mHadS9HDe5H-es ifZhtm, s649R05A 





Cambiamos el valor de la bandera Z a cero, y miramos lo que pasa en el siguiente salto 
condicional, en la dirección 49AC78: 
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OllyDbg - exif2htm.exe - [CPU - main thread, module exifzhtm] 
[c] File View Debug Plugins Options 


i| 44| X 





Haş ACSEE 
DAC cl 
Bad9ACre 
DAD e 
Bad9ACre 
Hö4SACES 
Hä4SACSS 
rieiad3mcsH 
naa samcan 
naasmcsrF 
mnmagdsgcsz 
Be43AC95 
BadS9ACSA 
Be43AC'SF 
BadSHACA2 
Bad9ACAr 
DACH 
Bad9ACAC 
Be49ACAF 
Bad9ACBZ 
Hä4SACET 
Hag ACEC 
Hä4 ACEI 
HAD 
Be43ACCC 
BadSACOA 
Haş ACD 
6643ACD4 
HALT 
Be49AC0S 
HALT 
pieasmcpc 
Be43AC0E 
Be49ACES 
He43ACEA 
Be49ACF4 
He430CF6 
IS 90084 
He43A0R2 
Haş AIHE 
maa ama 
Be43A08F 
66494014 
66494017 
ARASAnia 
4 


Jump 


is take 


kl 
2845 DS 


ES FEFTFFFF 
S4 


a 
Br24 DO 
Cons 4CBL4BEd BB 
S040 D4 
3302 
SE45 FS 
8618 
Frees HE 
5B55 DA 
BS ZLBC4BUU 
ES ESSSEBEF 
2040 Da 
BH BlBmanaa 
2645 FS 
261% 
Eras BC 
SBSS Dä 
Bo A4HBC4BOU 
ES SC93FGFF 


Al 48Bc4Bog 

ES SESEFÉFF 
2615 dp 
2944682 FH 

ec 46 

r4 BH 

2c BC 

r4 1E 

¿L B2 

r4 PE 

EB 2 

creas f agncanoa gl 
EB 22 

Ke eee az 
EE 

Cros. 4BACIADO BS 
EB BH 

Cres 4oBc4pend FF 
ERR 

55 

GI 42804944 
64: FF 38 

64: 0920 

anda rr. 


AG49A0SAsex TE 


Window Help Tools 


£j d 


ui + 
MOL EAM 
TEST AL, AL 
JE 
MOL BYTE PTR DS: Eau AT, 


LEA ECH, DWORD PTR Së: [EBP-20] 
HOR EDS, ED» 

HOU EAS, 

HOLI EB, OWORO PTR DS: CEAS] 
CALL DWORD FTR OS: CEBR+C] 


ai 


Ha. 
HO EBS, OWORO PTR DS: CERS] 
CALL DWORD PTR OS: CEBR+CI 
MOL EDS, 
MOL EAS 


CALL 
MOL EA, DWORD PIR OS: [C4AAC46] 
MOL ED, DWORD PIR OS: [4AAC44] 


MOL AL.EYTE PIR OS: CEOs+EAs-6] 
E dana 


SUB AL, GC 
JE 
SUB AL, 2 


MOL DWORD PTR DS:L4B8BC431, 1 
MOL DWORD PTR DS:Lr4BBC481,-2 
MOL OWORO PIR Shin. SE SARC 
MOL DWORD PTR DS:L4B8BC481,-1 
HOR EAM, EA” 

PUSH EBP 


PUSH ex if 2htm. 6490049 
PUSH DWORD PTR FS:LEREJ 


A Se ERES Ai 


BreakPoint-=> 


ex ifzZhtm, DZ 
exifzhtm.8e4iC1148 


ex ifchtm, 66482200 
exifzhtm. 884101148 


E 
54 


= 
= 


(['F'] of switch 


PE TI crar 


switch 


HAD 
B64S3ACDA 


("RI of switch BEd4SACOA 


Default case of switch 


DAC DG 


Zb 





661 2E Dn 
Banana 
DOC EA Op 
Be417A18 
461 3FOCA 
ani3FEi1C 
B03616608 
Bamn4as9474 


abd4SACTE 


BASS 
Hale 
BASS 


LastErr 
DD 46 


=18) xl 


ASCII ST lz 


1212 
ex itZhtm,BBd417H18 


ex Ltchrtn, 0049944 


ex Lt cht, Hd 2 


32bit BLFFFFFFFF1 
22bit BIFFFFFFFF1 
32bit BC FFFFFFFF) 
s2zbit BIFFFFFFFF1 
32bit rFFDFamarFFF! 
ĦOLL 


ERROR_SUCCESS (mae 
(NO, HE, E, EE, HS, PE, E 


empty all ESTC B1B5R184 E 


empty 


empty 8.8 
empty 4.8 
emptu H, H 
empty m. 


empty 1. 
empty 1. 


DD 
1372 


Cond A pop 
Prec HEAR,64 Mask 


paid 
Marce e 
Ee É 5 


Err & H 


Siguiendo la flecha roja vemos que el salto nos lleva al mismo lugar que el salto anterior 


(al mensaje del “bad boy"). Lo que nos está diciendo esto es que se trata de una segunda 
comprobación de nuestro numbre / código. Volvemos a cambiar el valor de la bandera Z para no 
coger el salto y seguimos pulsando F8: 


OllyDbg - exif2htm.exe - [CPU - main thread, module exif2htm] 


[c] File View Debug Plugins Options Window Help Tools  BreakPoint-- 


DAC GE 
DAC ri 
DAOU Ce 
DA 2 78 


DAOU rE 
DA SACIE 
Be4 SACS 
EE 


BB4SACEF 
Hd 2 
DAC Op 
Bia SAC 20 
Bia SAC SF 
ama 2 HZ 
DACH 
DA SACAR 
DAOU. 
DA 2 AF 
Bean Ba 
DA 3mncb? 
DOUD 
Be4+9ACC1 
Be49ACCE 
Bia SAC CC 
Be43ACD8 
Bed SACOS 
Be43ACO4 
Bia ap De 
Da SACS 
DOT 
DA SAC DC 
DOUCE 
DA ACES 
DAUER 
ae49ACF4 
Be49ACF6 
pia amni] 
Beam 
Bia SADAC 
Biaa3apmnaE 
Bia aBnarE 
26434014 
Bap 
Añ4SandA 
4 





l| 44| X 


KH 





5645 Dë 
EB FEFTFFFF 
54C 


a 
ara4 Dcaaaaan 
Cees 
S040 D 
3302 
FS 


5645 


FFS3 BC 
Dé 
BS 3cBC4Bag 
ES ESTIFEFF 
S040 Of 
BA 81688088 
5645 FS 
2615 
FFS3 BC 
SB55 Dä 

oe 


ES 
ES SCSSFSFF 
H 


Al A8 A0 
ES SESEF GFF 


BB15 


en4482 FH 
de 


BA 
BC 
r4 1E 
Ae 
nd 


Sc 45HC40HH Al 


EB 498043944 
64:FF3b 
64: 8920 
SIb Dr 


ACBrc4naeg aa 
4 





















a] > 


eje ju 
HOLU EAR 


DE E AL, AL 
MOL BYTE PTR DS: [4ARAC4C7,4 
LEA ECH, DWORD PTR) SS: LEBP-2CI 
HOR EDS, EDX 
HOU EAS, 
HOW EBS, OWORO PTR OS: CEAS] 
CALL DWORD PTR DS: CEBH+C] 
MOL EDR, 
MOL EAR 


LEA ECH, 
MOLI EDs, 1 
MOLI EAS, 
MOL EBS, DWORD PTR DOS: CEA 
CALL OWORO PTR DS: CEBR+C] 
MOL EDS, 
MOL! EAS 


HOU EAX, DWORD PTR OS: L48RC481 
CALL ewif2htm.B8484864 


MOL ED, DWORD PTR DS: C4AAC46] 
MOL AL.BYTE PIR DS: CEOX+EAx-6] 
SUB AL, 46 


SUB AL, 8C 
SUB AL, 2 


























MOL DWORD PTR Phim Bd SADA 
MOL DWORD PTR DS:[4AAC487,2 
MOL DWORD PTR OS: C4AAC45], 2 


MOL DWORD PTR OS: C4AAC4+SI, -1 
HOR EAM, EAR 

FUSH EBP 
PUSH 
PUSH DWORD FTIR FS: CEA] 


Means. Art PTR FS: PSP 





DS: CBESCESSSI=B6417ALS Cex ifehta. @6417A13) 


EBR=BA417A1S Cexifehtm. 66417018 





A 


enif2htm Dal CHL 
ex ifzhtm. 48410118 


ex ifz2 
ex if2 


Switch [cases 


Case 46 
Case Ga 


Case 52 


Default cas 


htm. BAL CHL 
htm. BA410118 


46 
['F') of 
['T') of 
("R") of 


e of 


switch 
switch BE4SACOA 
switch 


switch 












HAD 


HAD 
BE49AC08 


30) 





DOLL ERD 
amisrDFa 
DD 
66417rHA18 
4613FOCA 
BBISFELC 
Basgiesnms 
DA Cd 


DAC OD 


ES DZ 
CS BniB 
55 HZ3 
DS 825 
FS BSE 
GS man 


LastErr 
Da za 6 


empty -U 
empty El, 
empty HB. 
empty El, 
empty AH. 
empty E, 
empty 1. 
empty 1. 


D Co 
T2522 MB 


-i&] xl 
lF] xl 


à f Registers (FPU) 


ex if2htm. 86417015 


ex Lt Abt, BA 
eu ifzhtm,. BAD OI 


22bit BLFFFFFFFF1 
32bit BLFFFFFFFF1 
32bit BCFFFFFFFF) 
32bit BCFFFFFFFF) 
32bit rFFDFaBarFFF) 
MULL 


ERROR_SUCCESS LD 
(HO, HE, E, BE, HS, FE, E 
HORM Der B10bBa164 E 


pda 
FEE EE E Cn nn E EE ERE EE 

3218 ES 
nd A ABA Err B BH 
ec MEAR,64 Mask 


http://masteracsi.ual.es/ 


Seguimos pasando linea por linea y vemos que no sucede nada en especial. Pulsamos 
entonces F9 para ejecutar la aplicación. Notaremos que nuestro nag ha desaparecido. También 
vemos que ha desaparecido el texto “UNREGISTERED” en la parte superior de la ventana y el 
botón de "Register" en la parte inferior. 


**. ExifZhtm 





Script editor | HTML options | 


Taq Value 


Par | Newline] Space | File: name | Full name | Size B| ke| mel Image Image Width [O zi Height [0 +) [| Mapaths 
Column | Horiz [Defaut -| Vert | Default -| W | H | Ba | Brdr | [ Nowap [ Font 


Script editor: 





About | E) Preview! | Save | 





Conclusión: Hemos forzado a la aplicación para que utilice cualquier nombre y código. 
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7.17 Caso practico 17: Periodos de prueba y Hardware 
Breakpoints 


Muchos programas ofrecen periodos de prueba que permiten utilizar el software sin 
costo durante un periodo de tiempo predeterminado. Una vez finalizado, ya no es posible 
utilizar el software de forma gratuita. Para continuar utilizando el programa, debemos pagar por 
una suscripción o utilizar uno de los métodos para crackear el software de prueba. 


Ejecutamos el programa SecureData.exe e inmediatamente aparece una ventana con el 
periodo de prueba. 


Secure Data - Unregistered Copy 


You can Freely use and best the Secure Data software Far only 10 
runs, and after that the software will ask you to enter a 
registration key 





Hacemos clic en “OK” y se abre la ventana principal. 


E Secure Data - Hide a file into an image | lt xj 





Hide File Get Hidden 


SECURE DATA 


Protect your data using a secure means 





SECURE DATA hides any File type (doc, pdf, text, jpg, bmp, gif, zip, rar, mp3, avi, ... ) into an image File. 
This software allows vau to protect your critical and private data in a Form that cannot be noticed by 
anyone, 


It also uses a user-defined password when hiding and retrieving Ehe File, The software encrypts (codes) 
vour File before the hiding process to get vou additional security, so your hidden data will remain secure 
even iF itis analyzed by hackers or attackers, Secure Data is a powerful application For encryption and 
hiding processes and it was designed carefully to be Fast and simple to use, Featrures: 

1, Encrypting (coding) your File, 

. Hiding your encrypted File into an image File, so iE cannot be noticed by anyone, 

, Usage of a user-defined password to hide and retrieve your File. 

, becrvpking (decoding) your hidden File ak the retrieving process. 

, Saving your hidden File as an independent File at the retrieving process. 

, Fast and easy En use, 


Oh un - oco Pi 


Note: after hiding your File into an image then please do MOT repaint, resize or 
alter the image that contains your hidden File using image processing or painting 
applications, because that will corrupt the hidden data, 
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Hacemos clic en “About”: 


MY Secure Data - Hide a file into an image 









Features. Hide File 








Gu SECUREDATA 


Protect your data using a secure means 





Copyright © 2012 Aladdin Software, All rights reserved. 
Secure Data version (1,0) 


Registered Eo. 15 MOT REGISTERED YET 


Kev | 
Register | 


To get a registration key, please purchase a key 


Purchase | 


Help contents 


Help | 
RM 


Introducimos un código y nos sale el siguiente mensaje: 
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Hl Secure Data - Hide a file into an image 








Features Hide File 





Gu SECUREDATA 
! Protect your data using a secure means 


Secure Data - Invalid Key 













Copyright © 2012 Aladdin Sol — - - | " 
o The entered key is invalid, Please purchase a key 


Secure Data version (1.0) 


Registered to I5 NOT REGIS L 9k — | 
Key [1212121212 


Register 





To get a registration key, please purchase a key 


Purchase 





Help contents 


Help | 








Hemos visto lo suficiente. Cargemos la aplicación en Olly y buscamos las cadenas de texto: 
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Window Helo Tools 


OllyDbg - SecureData.exe - [Text strings referenced in SecureDa:. text] 
IR| File view Debug Plugins Options 


BreakPoint- > 





n" " n" n" L] BR en 1 BE 
Sidd x] KI + E ad a SF 

Address | Disassembly Text string «| 

a64A=3332| PUSH Secures, 66415F 95 UNICODE "mectls statusbari2" 

a6444BB7| PUSH Securela. 06415 FE4 UNICODE "TempocacruF ile. bap" 

DAD PUSH Secures, 6415 FE4 UNICODE "TemporaryFile. bap" 

BA464026) PUSH Securels, 064194005 UNICODE "Preparing data ... " 

Ae464071) MOL EBR, SecureDla. 4404190340 UNICODE "Secucebat a” 

He464ER4| PUSH SecureDs, 66419045 UNICODE "Encrypting data ..." 

HE464EEC) PUSH Secures, 66419878 UNICODE "Hiding data ... " 

aB4ABAE?| PUSH SecureDs, 6419695 UNICOOE "The hiding process was done successful ly 

HE4656F5| PUSH Secures, 6641 SEC UAICODE "Ok" 

AE465396| HOW ECx, SecureDs, 66419638 UNICODE "SecureDat a” 

HE465915) PUSH SecureDs, 6641 5065 UNICODE "Preparing data ... " 

a6445945| PUSH Secuela, DG LOF UNICODE "Decrypting data ... ™ 

Ha465982| PUSH Secures, 86419128 UNICODE "Saving data ... " 

DADEOE 21 PUSH SecureDs, 6419145 UNICODE "The saving process Was done successful Ly 

AG465981) PUSH Secures, 4641 96EC UAICODE "Dk" 

aR4ASASA| PUSH Secures, 064191A0 UHICODE "Software™<llindaws Data Count™ data 

BA4ASACC| PUSH Secures, 864191E4 UNICODE "data flag" 

HE465631) PUSH Secures, 864191FS UNICODE "Secure Data" 

Baadadb5gae|PLUZH SecureDa, 06419210 UHICODE "You need an adminztator User account to run this software" 

DAD PUSH Secures, 66419108 UNICODE "Softuareshlindows Data Count^-«data" 

DAPP PUSH Securella, 664191E4 UNICODE "data flag" 

AE46560B) PUSH Secures, 464191E4 UNICODE "data flag" _| 

HE465C019| PUSH Secures, 664191E4 UNICODE "data flag" 

aR4ABCSA| PUSH Secures, 06491AB UNICODE "Softuareshlindows Data Count. data" 

HE465CBS| PUSH Secures, 664191E4 UNICODE 2 e 

HE46667C| PUSH Secures, 66441 9200 UAT CODE 

He466104| HOW ECx, SecureDs, 44041 93E5 UNICODE "cance 

6466380) HOW ECR, SecureDs, HH4193E8 UAICODE "cancel" 

a64R656 | PUSH Securels, h6419SF5 UNICODE "Please select a file" 

He466560) PUSH SecureDs, 66419424 UNICODE "ALL Files" 

DAD CH PUSH SecureDs, 16419444 UNICODE "Please select an image" 

DAG del PUSH Secures, 86419475 UNICODE "Images of type jpg and bmp" 

a6446A17| PUSH SecureDs, be41 9405 UHICODE "Save As: please select where you want to save the new image file" 

BA4AEALC| PUSH Secures, 46419540 UN ICODE "brp" 

He466A21) PUSH Secures, 66419554 UNICODE "Bitmap Image File" 

He4+6667 S| PUSH SecureDs, 06419555 UNICODE "Please select the image that contains your hidden data" 

DAG PUSH SecureDs, 66419554 UNICODE "Bitmap Image File" 

a644r125| PUSH SecureDas, 06419665 UHICODE "httpz-^"aladdin-zsoftware.webz.cam" 

a644r135| PUSH SecureDs, 66419665 UNICODE "Secure Data Help. chm" 

He467130| PUSH Secures, 6641 96AC UNICODE "open" 

a644r285| HOW ECE,Secureba.madi9356E4 UNICODE "imaaes--Truekeu.pna" 

Dad ZC e MOL! ECR, SecureDa, 86419700 UHICODE "imagez--ErrorkKeu.pna" 

Ae467S36| PUSH Secursela.mmJiisFé68 UNICODE "SyslistWiewse" 

Ba467S370)| HOW ECR, SecureDs, 66419734 UNICODE "Images features. png” 

HE4673BA| MOL ECR, SecureDs, 44041 9r5C UNICODE "Imaaes--Hide.pna" 

AB467 SEE) HOW ECs, Secures. 86419770 UNICODE "Imaaezs--aet.pna'" 

BA46r421) MOL ECR, SecureDa, 6419790 UNICODE "Images*About. pag 


GISEAKRSS 


UNICODE 


"Features" 


aedar4ra| MOL ESI,SecureDa 
ña ECG 


f372472D | MO) Ceo Ts aA toed NRNTONNE FEH: de, Ca bar 


D "Y 
T DÉI 
‘ wf 


Vemos el texto del periodo de prueba que aparece en el nag. Sin embargo no vemos 
ninguna cadena de texto que haga referencia a la pantalla de registrar. 


Nota: No todas las cadenas de texto en una aplicación van a estar siempre en la memoria todo 
el tiempo. En algunas aplicaciones las cadenas más importantes no van a ser descifradas hasta 
que sean usadas por el programa. Este ejecutable puede ser uno de estos casos; cuando la 
panatalla de registrar necesita las cadenas para comunicarle al usuario que el código 
introducido es incorrecto, esas cadenas van a ser descifradas en ese preciso momento. 


Lo más importante a tener en cuenta cuando se trabaja con periodos de prueba es que la 
aplicación tiene que recordar la cantidad de intentos/días que restan despues de cerrar / reiniciar 
el programa. Esto significa que hay ciertos datos que necesitan ser almacenados en algun sitio 
de forma persistente. Los lugares más comunes para almacenar dichos datos son los registros o 
un archivo en el disco duro. 


En la mayoría de los casos estos datos no son alterados por lo que suele ser bastante 
facil localizarlos. Lo más seguro es buscar una ruta hacia un archivo o un registro que podría ser 
como el siguiente: 
Software\\AppName\\Key // (para la ruta de un registro) 
AppName\DataFileName.ini or AppName\DataFileName.dat ` //(para la ruta de un archivo) 


Muchas veces aparecerá algo asi como %WINDOWS% alrededor del nombre, lo que 
apunta al directorio de instalación de Windows. 


También podemos hacer una busqueda por “intermodular calls". En este caso nos 
fijaríamos en los CALL's CreateFileExA (para archivos) y RegSetValueExA (para registros). 
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Volviendo a nuestra ventana de cadenas de texto podemos ver una referencia a una llave 
de registro. 





OllyDbg - SecureData.exe - [Text strings referenced in SecureDa:.text] 
[R] File View Debug Plugins Options Window Help Tools BreakPoint-> 
Came] dd] X| KU ME] HE) BE | 5 


Disassembly 






=lē| x! 



















































Address Text string 


|» 









Ha4HS932| PUSH SecureDa, 66415F 95 UNICODE "mectls statusbariz" 
664ad4BBr| PUSH SecureDa, 00415 FE4 UNICODE "TemporaryF i be. bmp" 
He464C98) PUSH SecureDa, b6415FE4 UNICODE "TemporaryF i le. bmp 
He464028) PUSH SecureDa. A641 9605 UNICODE "Preparing data ... " 
BE464071) HOW EBS, SecureDa, 60413034 UNICODE "Securcelat a” 


66404ER4| PUSH SecureDs, 040419043 UNICODE "Encrypting data ..." 

HE464EEC) PUSH SecureDa, 66419878 UNICODE "Hiding data ... " 

HE4656Er|) PUSH SecureDa. 064194695 UNICODE "The hiding process was done successful ly" 

HE4656F5) PUSH SecureDa, 6641 98EC UNICODE "OK" 

468445396| MOL. ECH, SecureDa. 6441950350 UNICODE "SecureDat a” 

68465915| PUSH SecureDa, 66419885 UNICODE "Preparing data ... " 

66445945 | PUSH SecureDa. 6641 96F4 UNICODE "Decruptina data ... " 

Hnagdmgssaz|PLIISH SecureDa, 66419128 UNICODE "Saving data ... " 

He4659F3| PUSH SecureDa, 66419145 UNICODE "The saving process was done successfully" 

64654681| PUSH Securela. 6641 598EC UNICODE "OK" 

BAdBSASA| PUSH SecureDa. #6419108 UNICODE "Software Windows Data Count data" = 

HE4H5ACC) PUSH SecureDa. 464191E4 UNICODE "data flag" 

HE465631) PUSH SecureDa. 664191F5 UNICODE "Secure Data" 

664A5E36| PUSH SecureDa, 64419210 UNICODE "Yow need an adminstator user account to cun this software" 
HE4H5B76|) PUSH SecureDa, 66419108 UNICODE "Softuare--Windows Data Count ~data" 

HE4H56BH) PUSH SecureDa. b64191E4 UNICODE "data flag" 

HE46560B) PUSH SecureDa. 664191E4 UNICODE "data flag” 

HAD LO) PUSH SecureDa, 464191E4 UNICODE "data flag” bacon 
BE4H5C3A| PUSH SecureDa. 6419108 UNICODE "Software Windows Data Count dat a™ = 

BHE4E5CBS) PUSH Securela. 664191E4 UNICODE "data flag” 

HE4H687C) PUSH SecureDa, 6419208 UNICODE "You can freely use and test the Secure Data software for only ad runs, and afte 
HE466104) MOL ECH, SecureDla. 0641 93E8 UNICODE "cancel" 

BHE466360) MOL ECS, Secures, 66419355 UNICODE "cancel" 

664a6565r | PUSH SecureDa. BA lO2EO UNICODE "Please select a file” 

6466560| PUSH SecureDa, 66419424 UNICODE "ALL Files" 

HD cHI PUSH SecureDs, 04419444 UNICODE "Please select an image” 

HAD e) PUSH SecureDa, 6419475 UNICODE "Images of type jpg and bmp" 

66445A17r | PUSH SecureDs, 66419405 UNICODE "Save As: please select where you want to save the new image tile" 
Ha46601C) PUSH SecureDa, 66419540 UNICODE "bmp" 

Ha466A21) PUSH SecureDa. 66419554 UNICODE "Bitmap Image File" 









HE4H6673) PUSH Securela. 664195288 UNICODE "Please select the image that contains your hidden data" 

BHE466679) PUSH SecureDa. 66419554 UNICODE "Bitmap Image File" 

Ha467125) PUSH Securela. 664159665 UNICODE "http:-“aladdin-software. Webs, com" 

He467155) PUSH SecureDs, 66419665 UNICODE "Secure Data Help. chm" 

HE46713A) FUSH SecureDa, 664159600 UNICODE "open" 

Ba4ear255) HOU Ela, SecureDa,. 464159664 UNICODE "imaaes--Truekeu.pna" 

Hd ZC ei HOW ECR, SecureDla, #4419780 UNICODE "images“Errorkey, png" 

faAdaAar356| PUSH SecureDa. 66415F 65 UNICODE "SusListliewasz'" 

Hd HOU ECR, SecureDla, 06419734 UNICODE "Images. Ffeatures,. png" 

HE467SBA) NOW ECH, SecureDa. 66419750 UNICODE "Imaaes-*Hide.pna" 

mna4drp3EE| HOW ECR, SecureDla, #64197 °C UNICODE "Imagezs--GBet.pna" 

mnadm?421|Hdl Ela, SecureDa,. 86419730 UNICODE "Imaaes--BHbout.pna" 

HAD cp MOL EST, SecureDla. 64413974 UNICODE "Features" - 
D ATAFC| AO ECT Sass juan IIMTCOPDE DEU: de Dil. 

4 | 


Para acceder a los regisro de Windows vamos a “Inicio” -> “Ejecutar” y escribimos ‘regedit’: 


AAA la 


-æ= Escriba el nombre del programa, carpeta, documento o 
recurso de Internet que desea que Windows abra, 


Abrir: [regedit -| 
Cancelar | Examinar... | 


Al hacer clic en Aceptar se abre le Editor del Registro mostrandonos las cinco 
principales carpetas que contiene: 
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¿7 Editor del Registro -ini xi 
Archivo Edición "Ver Favoritos Ayuda 





Fel) HKEY CLASSES ROOT 
-E HKEY. CURRENT. LISER 
H-E HKEY LOCAL, MACHIME 
H-E HKEY. USERS 

H-E HEEN CURRENT. COMFIG 





Mi HD 


Desplegamos la carpeta 'HKEY LOCAL MACHINE', seleccionamos ‘Software’ -> 
"Windows Data Count’ -> ‘data’ 





E Editor del Registro i | Jal x] 
Archivo Edición Ver Favoritos Ayuda 
H- MaaillaPlugins a | | Nombre Tipo Datos 
a ODE lab] (Predeterminado} REG 57 (valor na establecic 
FL) Openoffice AY] data Flag REG DWORD Ox0000000a (10) 
GE Oreans Technologies 
Eg Palicies 


= { Program Groups 


e ES RegisteredApplications 


Eg Schlumberger 


E-E ThinPrint 
Egg VMware, Inc, 
oer | Windows 3,1 Migration Ste 
Eg Windows Data Count 
El WinLicens 
[EY WinRAR 
| pg Woozle 
| EHE SYSTEM 
HE HEEN LISERS 
DL HKEY CURRENT CONFIG 






hé 





s [5d 


i PCVHKEY LOCAL _MACHINESOFTWARE Windows Data Countldata - 
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Si nos fijamos en la parte derecha de la ventana vemos que el valor de ‘data flag’ es 
igual a diez, lo que parece bastante sospechoso. Vamos a cambiarlo y mirar lo que sucede. 
Hacemos clic con le botón derecho y seleccionamos ‘Modificar’. 






Datos 






REG SZ (valor no establecido) 
RES Tiir HI Ox00000008 (160) 


minado! 


Cambiar datos binarios 


Eliminar 


Cambiar nombre 





Introducimos el valor de cien y guardamos: 










"ët Editor del Registro i [Bl xj 
Archivo Edición Yer Favoritos Ayuda ` 
A) MaaillaPlugins ae 
EHE ODBC REG 52 _ (valor no establecido) 


DE Openoffice da | REG DWORD . OxDODDOD64 (100) 


Eg Oreans Technologies 
H- Policies 


Ge { Program Groups 


-E RegisteredApplications 


D. vmware, Inc. 
H- Windows 3.1 Migration Ste 
Eig Windows Data Count 


: 61-39 Woozle 
a) SYSTEM 
H-E HKEY_USERS 
H-E HEEN CURRENT CONFIG 


we 





Mi PCIHKEY. LOCAL MACHINEYSOFTWAREYwWindows Data Countidata E 
Ejecutamos la aplicación: 


Secure Data - Unregistered Copy 





| You can Freely use and test the Secure Data software Far only 99 
runs, and after that the software will ask you to enter a 
registration key 


Otra forma de manipula el periodo de prueba es parcheando el código. 


Volvemos a la ventana de cadenas de texto y hacemos doble clic sobre el mensaje seleccionado: 
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OllyDbg - SecureData.exe - [CPU - main thread, module Secureba] 





[c] File View Debug Plugins Options 





aspis 
HAD 
Biaanmspmdn 
Baga4nen46 







Window Help Tools BreakPoint-> 


duu Al = 
DWORD PTR OS: [X<EUSERSZ, Endi &EndPaint 
CMP OWORO PTR OS: C4i1EBACI],ESI Case 116 iW IMITDIHLOG) of 


=| 44| X 


, FEI 24124106 
ve E9 HERR 

» 3955 ACEB4+1 Op 
^ BFSS Hamann 


kill) =: 
















switch BB4dB5FHS 
























A4 6684 58 10640000 ControlID = 410 (1653.) 
padded 1 Ge ES [ina = FFFFFFFF 

DDADEGDE 2 FF15 Es7r141066 CALL DWORD PTR OS: C<2USERSZ. Get) kGetOlgitem 

Badmemis SEFS HOL EOI, EAS 

Baa] Cr4424 DC C48F41| MOL! 

Baa Cr4424 16 GDpopopopop MOL! : 

aadasasA Cr4d2d 658 Dopopopop NOW e H 

DAD d z Al 24E6410a HOU EAR, OWORO PTR OS: C41E884) 

Eadem Ch PUSH EA E 
aadacsara SD4r24 16 

DAD 65 D4924106 UNICODE "You can freely use and test the Secure Data software for 
Bade 1 5i 

DDADEDO 2 ES COGESFFFF 

DDADEGD d BBr4d24 1C 

aadasasE 2304 DC 

DDADGD2E Ge Text = FFFFFFFF 779 
Aa4h688F EY PUSH EDI [niin = FCISArSS 
Aa4h6898 FF15 4724168 CALL DWORD PTR OS: (48.USERSS, Seti bSetWindowTex tli 
aadacasa SEFE TEST ESI,ESI 

Baa . ELr4424 65 FFFFFF MOL =1 

DDADEDUp a r4 4C JE 

Eadem z . Dë PUSH ESI 

DAD . Es Oplo CALL SecureDa. DÉdD ed 

aadasarns . 23504 B4 ADO ESP, d 

aedeeone || ~ EB 41 JHP SHORT SecureDa.B88486BEE 


Ead bee DO > 3D 11016064 CMP EBHX,111 

aadeeebe | i+ BESS 3DFFFFFF ` (RS SecureDs. Ga405FF5 
Haadmemmgas . BES 1H HOL EBHE, Case 111 CWA COMMANDO) of switch HRAdHEFAS 
Baamdesmd BE » 66:30 1CH4 CHP Ax, +15 

GG4GéeGRF || .« 74 24 JE SHORT SecureDa. @G4@6GE5 
Ed ee n 1 . 66:30 2464 CHP Ax, 428 

aadeeacs || iv 74 lE JE SHORT SecureDa.BB486B8EE5 
Erb ee DC o =. 66:30 2164 CHF Ax, 421 

amdmencB || .~ 74 18 JE SHORT SecureDa. GG4@6GE5 
BEI =- 66:30 2444 CHP DS, 424 

66486801 || .« 74 12 JE SHORT SecureDa. BO4B6BES 
Ed ee DS . 66:30 zrü4d CHP Aw, 427 

aa4menp? || .« 74 ac JE SHORT SecureDa. GG486GE5 
Be46e6609 =. 66:30 2504 CHP Aw, 428 

AG4GeG00 || iv 74 6 JE SHORT SecureDa.B8B4B56BEE5 
Be46660F =. 66:30 zHBa4 CHF Das, 42A 


HE4H6HES ||.» r5 B9 
HE4HERES || » GA Bä = H 
HET = FFFFFFFF 


EXHI NE acta ES "T „J| hund =, " 


Viendo el código desde una perspectiva más amplia podemos ver que estamos ante una 


rutina de devolución de llamada de Windows para cuando aparezca el mensaje de 
WM. INITDIALOG. 







i 
uu 


i E 
m e 
un 
m 


1 
1 
1 
1 
1 
1 
1 
H 
1 
= 
J 
1 
1 
H 
1 
1 
— 


"00 


OllyDbg - SecureData.exe - [CPU - main thread, module SecureDa] 
[c] File View Debug Plugins Options BreakPoint- > 

















Window Help Tools 


=18| 
=18| 


Ix [x 








gr|44|X| Hj Se] Fe] aal al] EHE 
Badmen33 ||. 52 PUSH EDR pPaintstruct = ntdll.KiFastSustemCallRet e 
Bann E55 PUSH ESI [fina = EFFFEFFE 
DAD FF15 24724168 DWORD PTR OS: [44U0U5ER32. EndhLEndPaint 


aR4asasB ||. 
aaa4nen4a || > 
ga4neads || .« 


ES HEBaBmBBamB 
3935 ACER4+1 Op 
Brab BHzBanana 





Case 116 rum IMITDIBLOUGI) of switch DAF 


CMP DWORD PTR OS: C41EBACI,ES1 
¿Hz SecureDa. G84G60EE 






























Ba4h684C 58 10646000 PUSH 410 ContralID = 410 (1653.) 
Eid 1 Ge PUSH ESI [tino = FFFFFFFF 
Bade FF15 ES?7141B8EB OWORO PIR OS: C48.USERS2, Get] Eaetplaltem 

Bade SEFS HOJ EOI, EAS 

Be466854 Cr4d24 DC C48F41| MOL! 

Bade Cr4424 16 GDpopopopop MOL! z 

BG466668 Cr4424 65 Bmaaaaga MOL e H _| 
Baader . Al 8464166 MOL EAR, OWORD PTR OS: [41Eġ84] 

Baader . 458 PUSH EAR 

DDADGD ,  SD4C24 18 LEA o 

DAD 65 Daseadimu FUSH UNICODE "You can freely use and test the Secure Data software for 
Eadem 1 Ei PUSH EC 

DDADED d BBr4d24 1C MOL ESI, 

DAD . 83C4 DC ADO ESF, 0C 

aadasasE . Dë PUSH ESI Text = FFFFFFFF 7??? 
aadasasF IEA PUSH EOI [pino = TD92Hr38 
Aa4h6898 , FF15 64724166 CALL DWORD FTR OS: C<2USERSZ, Seti LsetWindowTer tl 
aadacsasa ZE TEST ESI,ESI 

aadacasa . Lr4424 65 FFFFFF NOU DUORD PTR sS: ESP468],-1 

DDADEGDUp .v r4 4C 

aAadacara Ge PUSH ESI 

DAD ES Oplo SecureDa. Gd ed 

Eadem 8 . 83C4 B4 HDD ESP,4 

aadmenng |.» EB 41 SHORT SecureDa.GB4B6BEE 





Ene ee DO > 3D 11616060 CMP EDS, 111 

Ba4menEs ||.^ AF85 SDFFFFFF SecureDa. 094AEFFE 

Hid meBBS . BES 1H HOL EAS, Case 111 CWA COMMBHDJ of switch Be4e5FA9 

DAG =- 66:30 1CH4 CHP DS, +15 

aa4menpr || .« 74 24 SHORT SecureDa.GB4B6BES 

Ed ber 1 . 66:30 2464 CHP Ax, 428 

aadeeacs || 24 LE JE SHORT SecureDa. GG4G66E5 

Er be DI o =. 66:30 2164 CHF Das, 421 

AG4GeGCR || iv 74 18 JE SHORT SecureDa.B8B4B5BEE5 

DAG » 66:30 2444 CHP DS, 424 

66486801 || .« 74 12 SHORT SecureDa.BB4B5BES 

Be4+h6803 =- 66:30 2744 CHP Ax, 427 

6646007 || .~ 74 ac SHORT SecureDa.GB4B6BES 

Er ere GIG =- 66:30 2504 CHP Aw, 425 

aadeeano || i. 74 66 SHORT SecureDa, GG4G66E5 

Ere ere DIE =. 66:30 zHBi4d CHF Ax, 4248 

BE4G6GE3 |.« 75 as JNZ SHORT SecureDa.BB4BÉBEE "M ` ga 
4 k 


Lo primero que hace es cargar un controlador con ID 0x41D (1053) para ser pasado a la 
API GetDegiltem. Cargando la aplicación en Resource Hacker podemos ver que el ID 1053 
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coresponde al texto que aparece al comienzo del nag con la informacion del periodo de prueba 
restante. 





EM Resource Hacker - C:\Documents and Settings* usuario Mis documentossR | - [8| x| 


Complle Script | Hide Dialag | 


File Edit View Action Help 











154 DIALOGEZ 100, 100, #260, 60 

STYLE DS FIXEDSYS | DS MODALFRAME | WS POPUP | WS CAPTION 

CAPTION "Secure Data - Unregistered Copy" 

LANGUAGE LANG ENGLISH, SUBLANG ENGLISH US 

FONT 8, "MS Shell Dlg", FW NORMAL, FALSE, 1 

d 
CONTROL "GE", 1052, BUTTON, BS DEFPUSHBUTTOM | WS CHILD | WS VISIBLE 
CONTROL 144, -1, STATIC, 33 ICON | Wa CHILD | WS VISIBLE, Y, 7, 20, z 


EM Dialog - 154 xj 


Secure Data - Unregistered Copy ` 





Si miramos en la ayuda de la API podemos ver que GetDigltem devuelve un 
controlador al control de Windows en EAX. Si ponemos un breakpoint en 40604C, reiniciamos 
la aplicación y pulsamos PS hasta la dirección 406058, podemos ver que el valor de regreso es 
090146 y se almacena en EDI: 
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OllyDbg - SecureData.exe - [CPU - main thread, module SecureDa] 
[c] File View Debug Plugins Options 


l| 44] X 


DAD 
DAD 
DAD 
agdasgsB 
Dad 
DAD D 


aa4nenrs 
pasas 
Baan5aa1 
SEILER 
DD 
AE4H6836 
BE4H683E 
BRE EF 
BE406098 
addens 


DAD 
ISEISIO SIS 
DAD 


Se 


56 
FF15 24724168 


ES DEG 


3935 ACEB4106 
arae nmaamsaansa 


68 10644646 


56 
FEIER Esri4166 


SBFS 

Cr4424 ac C45F41 
Dr4d424 1m Bög 
Cré424 66 DD 


Al S4Em41688 
5 


S04C24 16 
En 04924166 


ES COESFFFF 
SBr4d24 1C 
2304 BL 

56 


Er 

FF15 #4724168 
SSF6 

Crdd24 65 FFFFFF 
r4 4C 


dL 


Window Help Tools BreakPoint-> 


wt Sali a 
PUSH EDS p = YFFEFFFF 


ai 


FUSH ESI hind = BREABRIAA "Secure Data — Unregistered Copy", = 
DOUD PIR OS: EEZ&USERSZ.EndPaint?1 EndPaint 


uh DWORD PTR OS: L41bEBRC1, ESI Case 118 (MM IMITDIRLOG) of switch BG4G5FR3 
SecureDa, G8496GEE 


PUSH 410 ControlIO = 410 (16535.) 
[ina = BRBABIAA ("Secure Data — Unregistered Copu',c 
CesUSERSS.GetOlgiltem>J GetOlalten 
zm EDI, EAs 


MOL ,H 
MoL ,E 
HOW EAS, DWORD PTR DS:[41E684] 
PUSH EAH 


UNICODE "You can freely use and test the Secure Date 
BRBABIAA Pr? 


Text = 
[nina = BHBHli3F3Fü 
SethindowTesxt il 


PUSH EDI 
CALL DWORD PTR DS:rz&UsERS2.SetüindowTesnth] 
Geer ESI,ESI i 


PUSH ESI 


56 
ES DI Don 
30d B4 


CALL 

ADD ESP, 4 
CHP EAX, 111 
MOL ES, 


Dap 
agdaessnB || .~ EB 41 
Dapp 30 11010666 
Bm4nmenB2 |] .* BFES SDFFFFFF 
aadaAsBBS ||. 5 14 
Dapp ||. 66:30 1Ca4 


Baden ¿Abd 
DAD 

2164 
24d 
2rad 


| 


Case 111 (WF COMMBHDJ of switch BB4BsrFHS 


a 
I 
C 
E 
E 
La) 


P As, 428 
P HS, 421 
P Hax 424 
P DN, der 


DAD r 
DAG 
DACH 
pied aen 
DAD 
DAD 
ARRAS PAAA Hp DN. ae 


__ 18 
ERXZBBBSHIHE 
EDI-B813F3FB 


La siguiente instrucción carga el contenido de 418FC4 en la pila en ESP+C. Si 
seguimos esa dirección en el dump, vemos que esa dirección almacena otra dirección, 403980, 
que si la seguimos podemos averiguar que se trata de una devolución de llamada. Podemos 
asumir que se trata de la devolución de llamada para la ventana de dialogo (por ejemplo, si se 
pulsa OK). 


Dien Gi a Ee 


= 





ASCII El 


aaj4iSoFC4|8H 39 4H D Ga 66 65 66/60 66 PE BE GE BB rz B6|E9B,T.e.m.p.0.T. 

Badi1SFD4|&lgdHd 72 Be 19 Be 46 BB 69 Be GL 66 65 Bö BB BB) a. r.u.F.i.l.e... 

He41SFE4 A 65 66 50 BE PE 66 GE BE 72 66 51 BE fe BB|T.e.m.p.o.r.a.r 

BES SER 66 46 66 69 HH GL BB 55 HH 2E 66 62 HR 6D Be) y. F.i. latsa Dar 

BES lias) CH 66 66 66/56 66 ?2 DR 65 BB CH 66 61 Be ?2 BB p...P.r.e.p.a.r 

BE419614)69 66 GE BA ér HH 26 66 64 HH 61 66 ?4 BH 61 HBH|i.n.a. .d.a.t.a 

BE419624) 26 66 2E Hä 2E 66 ¿E 66/26 66 Hö dd 53 BB 65 BB| ....... eee 

H4d19b34/63 66 ?5 66 ^2 Be 65 BB 44 HH 61 66 ?4 HR 61 HB|c.u.r.e.D.3.t.a 

aGagd4ion44|88 66 66 606/45 66 GE HB 63 BB ?2 BB Po BB CH BB|....E.n.c.r.u.p. 

HHddi9B54|r?4 66 69 66 GE HH ér 66 26 HH 64 66 561 Bö r4 HB|t.i.n.ag. .d.a.t. 

b6419664/61 66 28 DR 2E 66 2E BE 2E 66 66 dg 48 BB 69 BE) A. ......... Ha i. 

Hadi9B?^4|64 66 69 BE GE HH ér 66 26 HH 64 HB 61 DR r4 HB|d.i.n.a. .d.a.t. sl 
4 k 


Los dos líneas siguientes empujan ceros a la pila (inizialicando algunas variables locales 
que serán utilizadas en el CALL) y después se carga un valor sospechoso en EAX desde el lugar 
en memoria 41 E084: 
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OllyDbg - SecureData.exe - [CPU - main thread, module Secureba] 
[c] File View Debug Plugins Options 


l| 44| X 









SEI ER 
GISEISIEIS EH 
ISEISIEIS EIS 
GESEIS E 
pads 
paa 


664486651 
Hd 
HAD 
Dadas asA 
SEITEN 
dadas aca 
paamsara 
DAD d 
GISEISIEIS RS 
IS GLODE 
GISEISEISIEN 
GESEIS 
paaasaga? 
padadsgaE 
piaamasaaE 
DAD 
pads 
HAD, 
ISEISIEIS 3S 
HAD 
Ba4nenn2 
HAD 
Hd ARA 
d 











Window Helo Tools BreakPoint-> 


A sp EE ee TUE 


ri * 






=l] x| 
BEES 


er PUSH EDs pFaintztruct = vTFFEFFFF ^ 
SÉ PUSH ESI is = HEEABLAA ("Secure Data — Unregistered Copy",c 
FF15 24724166 Di EndPaint 


A ORO PTR DS:EzsLSERS2.EndPaint?1 


CHF e PIR OS: C41EBAC],ESI 


ES DEBGOGDOp 
3935 HCEE41HBEB 
HFSS Heg 
zi 10646868 


SE ESr14188 


074424 Bc c48F41 M 
Dr4424 16 manam 
Cr44z4 63 Bängg M 
Al S4EB41BB 

5n 

Snacs4 16 

za 0689324106 


Case 118 CUMN_IMITOTALOG) of switch Be4e5FA9 


ControlIO = 410 (1653, 
[tina = HeeAR1LAA [Secure Data - Unregistered Copuf,g 
GetOlaltem 





Hou SEE DWORD PIR DS: 1418584] 


PUSH UNICODE "You can freely use and test the Secure Dat: 


5i ERE ECH 

serica IE [RU EST ORO PTR Se: ESPET] 

SBr4dz4 1C MOL ESI 

2304 uc ADO ESP, 8C 

56 PUSH EST Text = BHGABIAA TP? 

E PUSH EDI Re id = BBOBSBIBÉ C text" »~pCclassx" Static" , parent REH) 
FF15 #4724166 CALL EB. ENB OS: ES&LIISERSZ. SetllindowTex tll? SethlindowTex tll 





ch ESI 


EX Guerre 
ann Seet 4 


GEES 
C74424 68 FFFFFF| 1 
74 40 









Gë 
ES OoL Dong 
Bate nd 


DS: [6641654 Ip 









EAX=B88 98106 

















ASCII a PECES > ooo 
Hed EBS! 87 Al BB 08 BB 09 pa BB BO 42 G1 11 BB|-...8......- BEM. See e EE 
Bo41 Eas 61 op op op 10 GF OS 00 B0 B0 BO B0 x8..8...kd..... El ee 
an4lEn EG oo en an an 66 66 66 BB BB op op op op op op, Be ee NEE 
GG41EGÉT|uma 66 66 Bp BB BB BB BB BB GB BGB BB BB BB BB GG)... ee eee nee E ee 
B41 BACs | ea 66 66 06/06 66 BB BB BB BB op op op op op op, EE EE 
Beal 60 66 aG BB BB BB BB GG GG AA Op 0A BB BB BB ol, dur ud dude 
ac E0E+4| 0a 66 66 06/06 66 BB BB BB BB op op op op ma GG). i. ri eee eee tl 
ad 1EBF4|BEB BB BB BB BB BB BB GG GG op op op op op BB op, rcc aer rea 
6041£104|60 BB 60 00/90 BB BB BB BB op op on op Ba op PAi ri ri GE ECL. 
GG41Ei14|BB BB BB BB BB BB BB BB BB GB GB BB BB BB BB GG)... eee eee eee ADI EOE TODD r 
GB4lEiz4|BB BB BB BB BB BB BB BB BB GB BB BB BB BB BB BB .l.....le cene DEO eer eee 
GG41EiS4|BB BB BB BB BB BB BB BB BB GB GB BB BB BB BB BB|......ll ne - SFS4C |. HSC 


- Kara (a a 


Ens] , 


4| 1 el ZE 


Es sospechoso porque coincide precisamente con el número de pruebas restantes para 
ejecutar la aplicación. Si reiniciamos ahora la aplicación este número se vería decrementado en 
uno por haber utilizado una prueba más. Podemos resumir que la dirección 41E084 es el lugar 
donde se almacenan los intentos restantes para poder ejecutar la aplcación. 


Finalmente la aplicación carga ese valor como un puntero hacia la cadena en la pila y 
luego hace un CALL. La razón de este CALL, en la dirección 406082 es para comprobar el 
nümero de intentos que restan por hacer e insertar el resultado en la cadena de texto. 


Vemos que la cadena de texto en lugar de un valor contiene un símbolo: 


mJ VL LALA 
UHICODE "You can freely use and test the Secure Data software for only feos and after that the software w" 


Sabemos de programación que %d es una expresión de tipo printf. Como el nümero 
restante de pruebas es dinámico tenemos que crear una cadena generica para insertar el numero 
actual conforme se vaya ejecutando la aplicación. Si pulsamos F8, pasando el CALL, podemos 
ver que se ha insertado el valor en la cadena: 
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OllyDbg - SecureData.exe - [CPU - main thread, module Secureba] 
[4 File View Debug Plugins Options BreakPoint- > 


Sal dad Si KI) kä 
DD cO wv El 


DAD 56 

DAD . FF15 2424106 

DAD .« E9 HEDODDDG 

AE4H68468 A 3935 ACEB41 op 

AES4HeB46 ve BFSS Hasan 
. B5 10846556 





Window Help Tools 
d lu 4 
PUSH ED 
PUSH ESI [ 
OWORO PTR OS: C¢8USERS2. EndPaint +] 

CHP OWORO PTR 05: C4iEBACI],ESI 


PUSH 410 











7 






ai 















pPaint=truct = munem 
hind = BREABRIAA [" Secure 
EndPaint 


Case 118 (Wm IMITDIBLüG! 








5 M. 
Data - Unregistere 






of switch BE4H5FAS 






ControlIO = 410 (1653, 1 
Be4he685 1 EE PUSH ESI [nins = BABABIAA ("Secure Data - Unregistere 
Bade =- FF15 EGeldlop CALL DWORD PTR Os: (48.USERS2.GetOlglten>] GetDlaltem | 
Be46e6858 . BFS MOL EOI, EAS 
DDADEGDEH Cré4424 GC C4hF4168 ROU 
DDADEDe 2 Cré4424 16 Bang Mow EIS 
aadasasA Cré4d24 6&8 DD How e H 
Bade . Al S4EBA1GbB MOL EAR, OWORO PTR OS: [41Eġ84] 
Baader . SH PUSH EA 
DDADGD d .  SD4C24 14 LEA ECs 







DOG 
GISEISIGSEA 
pamm 


E 6924164 UNICODE "You can freely use and test the Ge 


ES D9ESFFFF 


PUSH 
PUSH EC 












SBr4e4 1C HOW ESI, 
DAD 2304 BC HDD ESF, oC 
DDADGD2E 55 PUSH ESI Text = GEBARIAA 777 
DDADGDE Ee PUSH EDI [hina = BARBARA "test", class=" Static", pare 
Aa4h6898 FF15 #4724168 CALL OWORO PTR DS:rz&lUsER32. SetWlindowTex tl?) SethlindowTexrt lil 
Baden SSF TEST ESI,ESI 
Be466e98 . Crd4424 65 FFFFFFFF ROU zi 
Blade we r4 4C 
aAadacara 55 PUSH ESI 
DAD ES OplPooop = 
ARAASANS Sara m4 ann FSP. 4 
4 k 





[d 
Et m age reece eee (UNICODE "You can freely Use and test the Secure Data software for onl 7 iruns, and after that the so: 


Ahora podemos afirmar con total seguridad que la dirección mencionada más arriba 
contiene el número de intentos restantes... Si finalizamos el area de este código, el nag volverá 
aparecer, esperando a que hagamos clic en OK. 


Para parchea la aplicación vamos a seguir la dirección 41E084 en el dump para poner 
un “hardware breakpoint’. De esta forma conseguiremos que Olly se pare siempre que un nuevo 
valor es almacenado en dicha dirección: 







OllyDbg - SecureData.exe - [CPU - main thread, module SecureDa] 
[e] File. View Debug Plugins Options. Window Help Tools. BreakPoint-> 


adx) OW vg 9 A 2 MAA RS Em 









EEE SEES) (PUSH EDH pPaintstruot = BOBHBWOnS T 
SÉIER EST [una = BBBABIAR ("Secure Data — Unregister 
Baágedss Backup + Dës EC&LSERS2. EndPaint>] EndPaint 


anmnadaeadap 

































GER Copy b : [41EBAC], ESI Case 118 [WM_INITDIALÓG] of switoh BO4B5FHS 
POETAE Binary FE o, ControllD = 410 CLOSS.) 

piae 1 Label SI [tino = BEBABIAA ("Secure Data — Unregistere 

Dë abe WOpn PTR Ms: (<eisPRae. Get Olg tem? GetOlaltem 

donde Breakpoint Memory, an access 

AES Search For » Memory, on write 

Gnacegdrs =; 

aza ee GEE Ee 

BA4B6A7C E - d Hardware, on write UNICODE "You can Freely use and test the Se 

| 88466031 Copy En executable File: - — — 

Bann SC Hardware, on execution Word 

SÉISSEN Loop En hoped OMNE 

ENEE ERE word 

Ba4a5a3E ESI | Text = GBBABIAR 277 

amá4neasr |w Hex H EDI [nia = ABAIGIOR ('teut',olasscz'Static',pare 

Ee y WORD PTR DS: [<&USERS2. SetWindowTexthl>] SethlindawTex til 

Bn4B6998 Text SI ESI 

| eidem 

| napi apa Short kr 

Ba4meand E 

I Gu 143 E 

4 Float ld 

ERE Disassemble 

EHR-BBSFZÉ Speciel " 

"Address | earance » | KREESSER eee 

A Li SE EE EE re 

añ41E094|9€ 61 BD ma Bl 66 BB BB 18 B2 as BSISESIS |. EIERE 

am4lEGn4|aa BB GO BB BOB BB BB GB aa op B aBisP3lC |- 46236805 

6641E084|66 66 66 BB 66 66 BB GB oo op Gn HHisPScH |- BBISPSFH 

BediEBC4|Bma BB pa BO BB BB BB BB BB BB Go Bejspss4 |: BB4BSE CH : 

aeáiEGD4|Ba Ga 66 BB 66 66 op GB GO op GB üBisPS2s |. BB&ISPCA : 

GB4IEGE4|BE Ga pA 66 Ga 68 BD 66 60 HA Ge a co |R 

BB4lEBF4|BGB8 GA op Ba BB op op op ae AA GG a (oneness | 


aBG4lElp4| G0 064 66 BB op op BB BB op op BH 
ns4iEii4| pa pa 66 op 66 op BB op BB op BH S 
Gg4iEi24| 09 pa 66 BB GB pa 66 op GB GG BH Ap 
anáiEls4| Be 66 66 Ba 66 66 ae op mna m Be ké ec 


4 ` 4 





Hemos seleccionado Byte porque es la longitud de la variable. 
aplicaicón y Olly se detendrá en nuestro hardware breakpoint: 


| Hardware breakpoint 1 at SecureD a 00405462 - EIP points to nest instruction 


e DIDI ZE 220 
- BERBERS 
* BERBERS 
— AGAR 
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Reiniciamos la 


A continuación vemos el area que cubre el inicio de la rutina y nuestro hardware breakpoint. 





OllyDbg - SecureData.exe - [CPU - main thread, module SecureDal] 
[E] File view Debug Plugins Ge Window Help Tools. BreakPoint-> 


Pases [BA 















He465H3H 

DAD DOE 

Badagespmsc 

gadasmsp 

HadgsmSE 

DDADEDE LE 

BHadaspmia SSEC DC E, EI — === 

aaqaspmaa SD44d24 A4 LEA ERZ,BHBORDB FTR SS:TESP-T41 

DDADE De 4 5g PUSH EHX pHisposition = DDDDDDD € 
DAD DA So4C24 Bd LEA ECH. DWORO PTR SS:rESP*4J 

6d05A4C 51 PUSH ECS pHandle = HULL 

He4oSA40 BA BE SH & pSecurity = NULL Mo 
Be4eSH4F es 3FBBBF AR PUSH GF RSF ocess = KEY ALL ACCESS 
DDADEDE A BA D LISH Opt ions = REG DPTIGOHM HOH VOLATILE 
Badospms GH BB PUSH 4 Clase = HULL 

DDADE DE BA HA Reserved = 0 

AaRdABASA GI A6914100 Subkey = "Software “llindoaws Data Count dat 
BES SASF 65 Balm hKeu = HEEN LOCRL. MACHINE 
DD DEA Cré424 24 DD ,É 

aadasmer Cr44d24 25. anna , B 

mnaaaspm a4 FF1E 8a 7a4168 DWORD PTR OS: C48 ADAPT Se, RegCreatekeyEuil—]) EReaCreatekeuEsl 

He4eSArA BSSCe4 ma B 

HadasmE iius FABER 

DDADE DA 

Badaspmss SD424 as 

DAD ASA Eri Aral = Bü 

DDADEDZE BOr4e4 Be 

HE46SAHSE Crd DC FFFFFFFF 

Be4eSA36 ES S5DAFFFF SecureDa, 46465538 

DAD DO SECH 

HA684BS5ASO 74 1E SHORT Secured 

DIDADEDOE SEd424 as LU EAR, 

DAD 336" AUR ECHR, ECA 

DDADEDOE 3D 40610066 ‘CHF EAR, 148 

Badges dmm AF S401 SETE CL 


DZ DOE 


BiBamBsHbs 





AS 24E04100 
nap Eodcm 
S900 SSEH4lBB 










ai DWORD ae 


DAD Bet DU D PTR 
HadaSABE EB SF Sly 
giam SBEd4d24 Aq 
DAD GH Dé BufStiee — 4 
DDADEDC2 20424 14 
DDADEDC € 52 Buffer =. MULL 
He46SAC8 6H 44 UalueTupe =.REG_OWORO 
Baapns dcm 6A BB Reserved = 
DAD Bo Ed914160 UaluehHame = "data f lay” 
B68daBSAD 1 BE Bb 
BE hKey = F hu 


pL 


ER A Je A. 04 








En el comnienzo de la rutina vemos hacia donde se empuja el valor del registro que se 


encuentra en el directoio de Windows Data Count. (RegCreateKeyExW no solo se usa para 
crear una llave, sino también para abrirla). A continuación se le aplica algunos procesamientos 
alrededor de la dirección 405A7E, para comprobar si el valor de regreso es cero (lo que 
significaría que la aplicación no le estaría permitido acceder al registro) y se salta a un posible 
en la dirección 405B2F, indicandonos que necesitamos tener privilegios de 
administrador para acceder a esta llave.Si no hay error, la llamada en 405A96 cargará el valor 
de la llave, devolviendo dicho valor a ESP+C (que se convertirá en ESP+8 después del regreso): 


"bad boy" 


DIET E ed L 


Baamg3baF 


oe 


IHT 













Ba4nasa8 SEBE HOU EC}, DWORD PTR Ds: [ES1] 
A403532 S3EC as SUB ESP,&8 js 
0A403535 cr PUSH EDI 

aB4A3536 SB3D 14704166 MOL EDI, DWORD PTR DS: C<2ADUAPIS2. Regbueryla lueE ADWAPIS2. Reghueryla lueExbl 
aB4A3530 6A Ba PUSH B pBufSize = HULL 

DAD E 6A mn Buffer = NULL 

Baama3548 204424 ac 

a684403544 5B plalueTupe = BmBamaBmBaBa? 
a68443545 6A Ba Reserved = NULL 
aB443547 68 E4914100 UalueMame = "data flag" 
aB4A354C 51 hKeu = B 

aa4dAs540 FEO (ALL EDI RealiuerullalueEnl 
aB4A354F SECH TEST EAS, ES 

a64A3551 74 ga 

A435553 3306 “OR EAM, EAS 

aAB4A3555 SF POP EDI 

A435566 8304 ns ADD ESF, 2 

ABdAZ55Ss Ce 6406 FETH 4 

aBdA355C ES m4aaaaaa MOL EAH, 4 

EISES 394424 ad CHE EAK 

aB4A3555 75 EC Hz 

DAD BEBE HOU ECX,DWORD PTR DS:rESII 

EISE 205424 a8 LEA EDX,DhORB PTR SS: [ESP+8] 

a64A3550 52 PUSH EDX 

aBd4A355E Ba4424 ac MOL 

DAD 2B4424 id MOL EAH, 

EISE? 5a PUSH EAX 

aB4az57r7 6H Ba PUSH & 

DAD 6A Ba PUSH o 

DAD ob 6& E4oidiae PUSH SecureDa,. 004191E4 UNICODE "data flag" 
Baa4asssa si PUSH ECX 

a6403531 FFD? 

EIST EE FFDS MEG EA! 

a64A3535 1ECá SBE EA, EAX 

aB4a3537 esca al HDD EA, 1 

EISE FOF EDI 

aB4A35SE 8304 ns ADD ESF, & 

aB4A35SE Ce 6406 4 

a6403591 CC INTZ 

EIST ETC CC INTZ 


Continuamos cargando el valor retornado en nuestra variable en la dirección 405AAD 
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OllyDbg - SecureData.exe - [CPU - main thread, module SecureDa] 
[c] File View Debug Plugins Options 



















Window Help Tools EreakPoint-=> 


Sak GR Alles 





el 44) x) OTT] >: +: 



























Be4e85A05A 63S A6914106 PUSH Subkey = "Software Windows Data Count dat y 
piedi psF . DÉI ZE PUSH Sepia heu = HKEV LücnmHL HBHCHIHMHE 
DAG) . Cr4de4 24 manne POL 
pieds mec . Cr4de4 25 manne P 
DAD dé , FEI Düdp4 1 pp OWORD PTR OS: C¢8:ADUAPIS2. ReoLlreatekey Esd] Reglreatekey Ex li 
DAD CH . 8335024 HH 
piedi mE ¿y EFS DD 
pieds maa » 56 
Ba4a5pnaes . 505424 as LEA ED, DHORD PTR SS:LESP-*81 
DD = 52 PUSH ED Argl = DD 
Bä4HSASA . BOrd424 D 
Be4H5ASE . Crdde4 BC FFFFFFFF 
piedi pa . ES "BDHFFFF SecureDa. 66443530 
Ba+ASASE . SSC TEST EAs, EAS 
DDADHOE 064424 DU MOL EAS, 
DAD 3309 ADR ECs, ECS 
piedi pH 30 4681004 CHF EAs, 146 
pierdas pHaH . dBHF34C1 SETE CL 
B6+ASARO . AS 24E04 10 POL DWORD PTR DS: (4160841, Er if 
Be4HSABS . S301 Hl HDD ECs, i 
He4H5AB5 . 8980 2823244166 HOW OWORO PTR OS: (416888), ECS 
pierdas map > GBB4d424 Ed POL EAS, 
DACH . ÉA H4 FUSH 4 EufSize = 4 
Ba4ab5nca . 805424 18 LEA ED, DHORD PIR SS: TESP+107 
DDADEHC ü. 52 PUSH ED Buffer = HULL 
DAD 6A ad PUSH 4 WalueType = REG_DWORD 
Be4e658CA 6A uu FUSH & Reserved = Ë 
pieds mcr . 568 Ed91410H6 FUSH llalueHame = "data flag" 
DAD) . BE ABRA MOL EST, Be 
DD . 5A PUSH EA hkeu = Y 
DAD . 89r4e4 24 HIM nara 
Be465AR08 . FF1B #CPH41668 DUDRO PTR OS: L&&HDUBPIS32.RegS5etlualueEgzsW?1 ReagSetlaLlueEmusl 
piedi mE 1 . SB4C24 dd HOU EC, DWORD FTR SS: [ESP+4] 
DDAGEHEE » Bl PUSH ECs hKeu = B 
Bie dia HES . FFiB #4764168 CALL OWORO PTR OS: C<&ADVAPIS2. Beat lushkey >] ReaF Lu shKeu 
DDADHEL . 8955 B4EHBH41dBH HOW DWORO PTR OS: [C[41E6841, ESI 
He4HSAFS . CC 22441668 6166666 nou DWORO PTR OS: (416888), 1 
pieds mr c > GBB4d4d2z4 bd How EAS, 
pipi dias wl . 30 DEED CHF EAS, Gogo 
H4S BE . BE FOF ESI 
pads Eme v r4 45 
DAD 3D mBenmaaam CHP EN, GOOD, 
Be465680 ~ r4 JE 
piedi BeF 30 alimnmeacu CHF EAS, Sad 
Eie das Ela ve FS 37 JE 
Be4acei& ||. 20 meeeaesa CHP_EAX, saegaag2 X 
4 k 
Finalmente comprobamos más valores, cerramos la llava y regresamos: 
OllyDbg - SecureData.exe - [CPU - main thread, module SecureDa] -|| x 
[c] File View Debug Plugins Options Window Help Tools EreakPoint-> = || x 
E 44 X] Kl bai BE adi a 
BE4ESHHH ||.  BFS4Ci SETE CL T 
Be4e5RA0 . H3 54Eë4166 HOW DWORD PTR OS: 0416884], Es 
reads DÉI 2 . B3cl Hl ADO ECx, 1 
DAD HE . 2360 52E641466 HO OWORO PTR DS: [41E685], ECS 
DAD HE aw EB SF 





BB4E5ABO 
DAD 1 
BE4ESACS 
BE4ESAC7 
DOE H 
DAD H 
DAD. 
BE4eSA01 
DAD, 
Be4eSA007 
BRE 5A06 
BB465AE1 
BE4IESAES 
BE4ESAE6 
BE4+ES0EC 
piana gr 3 
piadasgrr 
piadasEmad 
Biggs Ba 
DAD, 
ISEISISSISS 
DAD 
BE4E5RRF 
BE4E5614 
SE ISAL 
BE4E5616 
64445610 
pagas 
DA DZA 
BE4E5B25 
BE4E5B26 
BR4ESBSE 
BE4ESBSF 
SE SECH 
DA De 
BE4E5B36 
mpadB85Bb3n 
DDADEDA 
BE4E5640 
DAD 
BE465651 
DDADEDE 2 
DAD 


HE 


















Dd am cr t 
HOJ EAR, 

PUSH 4 

LEA ED, OWORO PTR SS:LESP*18 
PUSH EDX 


SB4424 B4 
6A Hd 
SOS424 16 
52 


BufSize = 4 


Buffer = HULL 


GH H4 PUSH 4 WalueType = REG_DWORD 
5H nd PUSH & Reserved = 
5a E4914166 PUSH JalueMame = "data flag" _| 
BE mpi HOU ESI, op 
PUSH EAR hke = Y 
UEM E ,ESI 
FF15 üacra4imud DWORD PTR D5:Ez&nmpDuamPIsz.ReaSetualueEslW]J ReaSetlalueEuzl 
SB4C24 B4 HOU EC! , DWORD PTR SS: EESP-*41 
51 PUSH ECA hke = B 


FF15 a4ra41ima CALL DWORD PIR DS:rz&BDUBPIS2.RegF LlushKeu >] 
5935 24E04160 MOL OWORO PTR DS:L41EB241,ESI 
CTOS 58E64166 6166668 MOL DWORD PTR OS:[41E6887, 1 


> 

. Eë 

. 89r424 24 
à ReoF lushkey 
> 










SB4424 B4 EHS, 
Sr HDD EA, GD 
2e F4 45 "E 
: 2n d dn CHP EAM, 88686065 
à Së Ge CHP EA, Sm 
i R a CHF EAS, Sm 
à = Eo ed CHP EA, Summam 
à 55 PLUSH EAR hieu = DD 
i ds: e LC ee OWORO PIR DS: E&&BDUBPIZZ.ReaCclosekeu?1 Regt losekey 
es FETA ` 
+ 5H 3H PUSH 3H Style = NB_LOKINB_ICONESCLANAT ION ID DPP HO 
. 68 Faoi4dibe FUSH ee Title = "Secure Data” 
=. 68 18924166 FUSH Test = "You need an adminstator user accoun 
. ÈA BE PUSH & hOwner = HULL 
. Cres 88664168 Dppppoot MOL DWORD PTR DS: C41E6881],6 
=- FEI 84v2418B8 DWORD PTRA OS: C<2USERS2. MessageBox til} ] HessageBos lil 
2» 83C4 DC HDD ESF, oC 
a es) 
cc IHT3 
CE IHT3 
LE INTS 


mam TRITT 


ne 


La pregunta que se plantea ahora es ¿Cual es el mejor sitio para parchear esta aplicación? 


Si cojemos la dirección en 405AAD, donde el valor que se recibió del registro es 


almacenado en el lugar de la memoria para comprobar más tarde el numero de intentos, el 
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problema viene si intentamos parchear esto con algo asi como MOV DWORD PTR 
DS:[41E084], OFF el código resultante va eliminar las dos siguientes instrucciones: 


B6455n6s |. 3505 WOR ECH, ECH 
d OCGE , 3D 46461 0008 CHP ED, 146 

Ba4esARA |. F94C1 SETE CL 

DAG DIR Cres S4684196 EES ROU DWORD PTR 05:241E624], GFF 
ABAESABY 34 HOP 

cod r5 ABS 368 Hor 

And ABS ag HOF 

Hat HER ag HOP 

AB4ESABO || > 364424 oe MOL EAH, 

6064B65AC 1 : 6A 4 PUSH 4 

abdesaca | . 305424 16 LEA ED}, OMORO PTR SS: [ESP+160] 
HIER d $ Ee PUSH EU 

BO4E5ACS ||. 6A 64 PUSH 4 


Así que parcheemos la instrucción anterior en 405A9F, donde EAX es cargado con los 
nümeros de intentos devueltos: 





OllyDbg - SecureData.exe - [CPU - main threa e Sec 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 
ix dé NI KI bat DE | 9X 


Ix [x 


































pO4BsASs5 505424 BS LEA EDs, = 
DAD De PUSH EDs Aral = HDD 

BE4+85H5A eDr4z4 nma LEA ESI 

BE4H5RSE Cr4424 BC FFFFFFFF MOL! RT 

Baq AIE ES S5DHFFFF SecureDa. da4da3538 

BOdBSASE GER TEST EAs, EAs 

BE4H5AR9F » 5B4424 B8 MOL ERR, 







Hd 
Ba4BSARS 
HAD 
HAD 
EISES 
DAD, 
BEdHERABE 
HAUT 


BO4BSACI TE BufSize = 4 
BB4BERCS v. Fill with ND: Cancel | i 





assemble at onsosagr ET 
MOV Ea, OF El 


























BBdBEACT Buffer = NULL 
HA4HSACS WalueType = REG_OWNORO 
GBB4BEACA . EA B8 PUSH E Reserved = Ø 

HA4ASACE . 68 E4914100 PUSH SecureDa,.884191E4 WalueName = "data flag" 
Aa4e5001 . BE üaBgaaanaa MOL ESI,&8E 

BB4BSADE . E5B PUSH EAX hKey = 7 

BaBdB5AD? . 897424 24 EN, RIETS ES! 

BB4BEADE . FF1S 607041696 OWORO PTR DS:L£&HDUBPIS2.RegSetUalueEuW»1 |[LRegSetUalueEx ll 
Be465HE1 . BE4C24 84 ECH, DWORD PTRA SS: [ESP+4] 

BA4ASAES . 5l hKey = 8 

HA4JASAEG . FFIS 64704106 OWORO PTR DS: (<SA0WAPIS2. RegF lushKey >] Beat Lusbkeu 

BB4BEREC . 85925 24E04166 MOL DWORD PTR Dës [418024], ESI 

BaadasnrFz . Cep S86641ae 6190686860 MOL DWORD PTR DS:r41EB8221,1 

BB4BEAFC > BB4424 B4 MOL ERX, 

DAD EG . SD Baamaansa CHF EN, GGG 

DÉADEEGE . SSE POF ESI 

Baa4aspné w 74 45 

Baamcpns . 50 85aamansa CHF ERX, Sama 

Baaacpan .- T4 ZE 

BaBdBcEGF . SD 61666639 CHF EA], 20000061 

Bala e Fd 37 

Ba465B16 . 50 B2asaansa CHF EA}, Sama 

Baa4dcplB ~~ Fd 38 

Be465610 . SD 3000A CHF ERX, Sana 

BB4BEEZZ w Fd 29 

Baam5p2a4 . 50 PUSH ERX hKeu = ABBBBAS? 
Ba4e5b25 . FF15 65704190 CALL DWORD PTR OS: C<2¿ADUAPI32.ReoC losekey >] RegCloseKey 

HA4ASEZB . SB3C4 GC ADD ESF, GC 

BB4BEEZE ES 


RETH 
Ba4asBzF ||? 6A sae PUSH 38 potyle = MB DKIMB, ICONEXCLAMATION!ME_APPLMOC v | 


ai T 


Si pulsamos F8 podemos ver que nuestra variable ahora contiene el valor OxFF en lugar 
del námero real de intentos por realizar: 
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DAD 
BE4ES5A6C 
DAD cd 
BE4HS5A7A 
Bi dasHrTE 
Bias Hpa4 
DAD 
HAD 
aagaSASA 
BE4ESASE 
amdaspss 
BR4ESAIB 
am4aspmsm 
aa4aSASF 
am4aspmnm4 
DAD 
BadaSARA 
pidas pan 
BE4ESABS 
DAD 
BE4ESABE 
DAD 
BE4E5AC 1 
DAD 
SEI EIN 
BR4ESACS 
BE4ESACA 
ae4e5ACC 
Be4E5A01 
DAD, 
DAD 


faz rab | 


4 






















Le 






FF15 4674168 


BS3Ce4 Du 


HE Gd DD 


55 
205424 D 
Ez 
s50rd24 as 


Cr4424 BC FFFFFFFF 


ES 95DRHFFFF 
DECH 


r4 1E 

BS FF 
38 

3D 486168 
BFS4C1 

AS 24E641 
B3C1 Hi 


pna 
Ba 
Ba 


S980 SSEB1IBB 


EB 3F 
SB4424 B4 
GH Bd 
SO5424 148 
Ez 

BH Bd 

GH BB 

68 E49141 
BE aBüanmnad 
Sh 

aardod 24 


Ba 
Ba 


CCC GC Zä) rara 





tH 


OllyDbg - SecureData.exe - [CPU - main thread, module SecureDa] 
[c] File View Debug Plugins Options 
[| 44] X 


Crd4dod 24 nmamamana 
Drd424 25 mamnaama 


sp dl > 





Window Help Tools BreakPoint-> 





MOL! Al 








JE 
PUSH ESI 





TEST EA», EAS 
MOL EAX, BFF 
HOP 


CHF EAS, 146 

el Shack 

MOL DWORD PTR OS: (416864), EAX 
HDD EC, 1 

MOL DWORD PTR DS:E431EB381, ECX 


qum p Ser Bese 
MOL EAS, 








PL 
MOL EST, BE 
PUSH EA 


NOW DWORD PTR SS:CESP+24], EST 
noon CTO Moe CK ON MOCT 22 Oat tll da Ohl” 1 


e H 
DWORD PIR geg EE ER De ReglreatekeyEs lil 


Argi = mamada 


SecureLa. FH4H5534 


BufSize = 4 


Buffer = HULL 


WalueType = REG_DWORD 


Reserved = B 


Waluename = "data flag” 


hkeu = FF 


Le et l le | 


hé 


"| | 


EL app 


6418034 
Bad ilEns4 
Bagi ERAS 
Bad 1 EBS 
Baş i EHC4 
Eia 1 EGOS 
Ab 1 EGE A 
pad 1 EGF 4 
A641E144 
09415114 


al 






P 


w: 


a1 SFEAC 
HH1SFEBR 
He 1 SFEB4 
HH1SFEBS 
äi SFEBC 
Hei SFECH 
He 1 SFEC4 
HE1SFECS 
äi SFECC 
He 1 SFEOR 
He 1 SFEO4 


um 


pierre 
amaaaaa4c 
Bend? 
amaaaaes 
Beam 901 
ABEBRASS 
BARBARA S 
ABEBEES 1 
DASAIFOS 
Hd 
Dpl2EE Ta 
raAnñisFF14 


Una vez guardado el parche, siempre tendremos 255 posibilidades de ejecutar la 
aplicación independientemente del número de veces que hayamos ejecutado la aplicación 
anteriormente. 


| freely use and test the Secure Data software for only 
,and after that the software wil ask you to enter a 


tion key 


me mem 





Conclusión: eliminar el nag puede que fuese la mejor solución para esta aplicación pero 


E 


Es buenos saber reconocer este tipo de sistemas de protección. 


2. A veces no se puede crackear una aplicación, y este método es la siguiente mejor 
Opción. 
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7.18 Caso practico 18: Generador de parches 


Un generador de parches es un programa que un ingeniero inverso puede utilizar para 
parchear una copia virgen de una aplicación. Se trata pues de pequeños programas que son 
enviados junto a un programa sin modificar (por ejemplo, el típico programa que se descarga de 
la web del proveedor), para poder aplicar los parches correspondientes y hacer así uso de una 
aplicación nueva parcheada. 


En este ejercicio vamos a parchear el crackme “Saturday Night Crackme". Utilizaremos 
dUP2 un generador de parches creado por Diablo2002, así como CFF Explorer. 


Ejecutamos el programa haciendo doble clic sobre el ejecutable. 


Saturday Night Crackme - by haiklr 


- 


nvalid ! Maybe think about MPSSteqa,., 


About 





Introducimos un código: 
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Saturday Might Crackme - by haiklr 


A 


1z121212 


About Dance ! 





> 


Haciendo clic en Dance, vemos al “bad boy”. 


Saturday Night Crackme - by haiklr 


- 
= 


Invalid ! Maybe think about MP35tegn... 


About Dance | 





Vamos a cargar la aplicación en Olly: 
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OllyDbg - Saturday Night Crackme.exe - [CPU - main thread, module Saturday] | B | = | =| 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> = | =| 


Ix Ix 






l| 44] X 


DECUS NEST rz 
96441662 : 
BA Be? 


Pi *" +: 






MAA A ee. 
PUSH o 
Hou DWORD PTR OS: (4863061, EAS 
PUSH 3 










DÉI pohodu le = NULL m 
6367 ARR GetModu LeHand LeH 


AS AB634086 

























Baqi i HAC . 6A H3 Rerchame = 3. 

Eid 1 AE . b PUSH EA [^ins: = NULL 

a048104F . ES 14070005 £JHP. Suzers32.LoadIconB? LoadIconA 

padaig1a4 . A3 DEGzZdDpDp Hou DWORD FTR DS: C4663AF 1, EAS 

BE461819 . 68 SurFHBdd PUSH too Rerchame = 32649, 
HE4H161E . EA BE PUSH & [ pins: = NULL 

HE4H1E28 . ES FDGDGbppop CALL CP, &userSz. LoadCursorA? LoadCursorA 

AB4h1825 . A3 B3634888 HOW DWORD PTR OS: (466363), EAS 

aadaiasA . EA DÉI PUSH & Color = <BLACK> 
BE46162C0 . ES 6Fe7 aah CreateSal idBrush 

SEEI ETEDI . H3 Bean HOW DWORD PTR OS: (466367), EAS 

Eidos . EA DÉI PUSH & Color = ¢<BLACK> 

Baqi dzs . ES 63678868 CreateSol idBrush 
Aa4h1830 . . H3 BBÉe34B88H Hou DWORD PTR OS: (466366), EAS 

Aadalada . E&A BE PUSH & Color = ¿BLACK> 
Aadaladd . ES BrBrüiadd CALL CreateSoal idBrush 
aadaiada . H3 BFé348d8 HOLU DWORD PTR OS: C46636F], EAS 

B4H164E . 68 CCBBSSH8 PUSH Color = ROBI 284, , D, xl, 
aqilga . ES 465676008 CreateSalidBrush 
Be461858 . H3 C3634660 Hou DWORD PTR OS: (4663031, EAR 

BE461650 . E&A BE PUSH & Color = ¿BLACK> 
A46165F . EA Øl FUSH 1 Width = 1 

Ede 1661 . EA Dë PUSH & FenStule = PS IHSIDEFRHHE 
40481063 . ES 32070005 ZHP, &gd i52. CreatePen > CreatePen 

Badaimsa . H3 Cros40646 Hou DWORD PTR OS: (466307), EAR 

BE461660 . Dë PUSH ESI 

Dal EE . 6A BA PUSH HA Resourcelype = RT. RCDHTH 
in in NS . ÉA HB PUSH HE RezourceMame = B 
Badaidgs . FF35 HB&e34ü88B8 PUSH DWORD PIR OS: (466306) hHadule = NULL 

Be461678 . ES Eepepppop CALL FindResourceA 

BE461870 . 56 PUSH EA 

AadalarE . 56 PUSH EA hResource = NULL 
aadaiarF . FESS HB&e34ü888 PUSH DWORD PTRA OS: (466306) Bees = NULL 

66401435 , Es &467 Rao SizeofResource 

aadaiasA , H3 17644668 HOW DWORD PTR OS: (4664171), EAS 

AadalasF . 458 POP EA kernela32.7rC8156D4F 
BE461698 . 56 PUSH EA hResource = NULL 

Eden 1621 . FF35 HB&e34ü888 PUSH DWORD PTR OS: [4663AE] [hited te = NULL 

Badia . ES EBB&adand CALL LoadRe source 

aqlga . DD PUSH EA hResource = NULL 

Bpiaaa1i mn . ES EBBB&BdaH CALL LockRe source 

DDAD LD . BFA HOL ESI, EA» 

Baq4äl A4 . Al 17é44666 HOU EA, DWORD PTR OS: [466417] 

Baqi AS . Z300 B4 HDD EA, + 

apdoienc ||. 50 PUSH EAS fiienSize = 8, E 
4 k 


Y buscamos por cadenas de texto: 


Text strings referenced in Saturday:.text [ Biel x] 





Address |Dizsassemblu Text string A 
66461666) PUSH E (Initial CPU selection! 

HA4612E1| PUSH Saturday. adas aaa ASCII "Saturday Night Crackme - by haiklr" 

He4H12EE| PUSH Saturday. BADGE, ASCII "Saturday Night Crackme - by haiklr" 

AA4612F0| PUSH Saturday. DAD DD ASCII "About" 

64084481S3EA| PUSH Saturday. BDADGRZO ASCII "Saturday Night Crackme - by haiklr*n*-r-------------------------- 
HA461666) PUSH Saturday. S64661FF ASCII "^ , " 

BA4616C3| PUSH Saturdau.tGBmJdiage6lEC ASCII "Walid * You win :1" 

HA461604) PUSH Saturday. #6466104 ASCII "Invalid * Haube think about MP3Stego...” E 


Be4e2525) ASCII "de", a 

am4md2a338|HSCII "trtsbe',. 9 

amdmd2346|HSCII "- de”, ġ 

Be4e2SA8)/ ASCII "iribme",d 7 


AAdAT20DAl OSCTT PP! An" A 
4 
DS E 


Hacemos doble clicl sobre el “bad boy” y saltamos de lleno al área que nos interesa. 
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OllyDbg - Saturday Night Crackme.exe - [CPU - main thread, module Saturday] 


[c] File View Debug Plugins Options 
| il 





640169 
66401546 
60408156HAE 
60401684 
664a16B1 
A64a16B3 
664015685 
A640156BE 
664481601 
DAG 
Ha4H16C8 
He4616CA 
piedi ec 
66401602 
66481604 
66461609 
66461606 
6648160E 
He4616E35 
A64016E5 
Be4H16E6 
Abd4al6Er 
BaamisEs 
piedad e6E3 
öö4äl EC 
IS GR a 
He4H16F8 
DAG 
66401704 
DAT rA 
664017104 
Be4h1716 
Abd4alriC 
SSES 
DAT 26 
DAT € 2E 
664417134 
A6d4alr3A 
A64a1lr4a 
DAT P46 
DAT 7 4c 
DAT roe 
Aadair5s 
Abd4dalr5E 
SSES 764 
piedad 760 
DAT € cH 
aadal rre 


4 






[| 44] X 


rá DG 
. | BFAFOS 

. | BSFe 

» | 42 

X = = = 

DIER DO 


ver Ca 19 

, | SIFE ERG4anBa 
ro ll 

68 EC614668 

GH D 

FFr5 B8 

ES r4manaan 

SCAM 

A 768 14614006 

. 6A 88 








FFr5 H8 
ES 63880808 
Be 


$i— FF25 H4B5ma4naa 
$- FFzb 50504004 
$- FF2b 94504004 
$- FF25 905044004 
$- FFzb OCDE 
$- FFzb Hüubudbnaa 
$- FF25 HBSB5md4naa 
5 FF25 HCBEBA4bBEB 
$- FF25 DOGDADGOp 
$- FF25 E4504000 
hh FF25 &Cb5mdbiaa 
hh FF25 355040068 
$- FF25 34504006 
$- FF25 205044004 
$- FF25 CADO 
$- FFzb CAE 
$- FFzb r4B5mdmuaa 
$- FFzb ruü5mdnaa 
5 FF2S 40504000 
.— FF25 44564666 
$- FF25 40504000 
$- FF25 4CB5mdnmiaua 
hh FF25 Eë OADGp 
i- Free S45ad000 


eis) A E 






BreakPoint-=> 


Window Help Tools 





+ 










INUL EBs, EAs 
ADO EST, Es 
INC ED 


CHF EBA, CDR 
CHF ESI,4EA 


d ecu o 
PUSH 


PUSH 8 


PUSH az 
PUSH 
PUSH 8 


PUSH GH 


FOP EBS 
FOP ESI 


OS: D£&user3z.CallWindowFracH?1l 
DS: D£&user3z.DialoaagBosFaramH?1l 
0S: Cikusers2. OrawTextA?d 

0S: LZ&u aer32.EndDialoa?1 

OS: D£&users3z.FillREect?1] 

OS: D£&users3z.üaetDlaCctrlID?J 
DS: D£&user3z.aetDlaltem?l 

0S: [Z&u aer3z.BetDllaltemTestH-1 
0S: Ez &user32.InflateRect?] 

OS: [Ez &uazer3z.LoadCurzorH?] 

OS: D£&u ser3z.LoadIconH?^1l 

DS: D£&user3z.üffasetRect?1] 

DS: D£&u ser3z.SendDlLlaltemlhezssaaeH 
0S: LZ &u aer32.S5endheszaaeH:-1l 
0S: [Z&u aer32.S5etCursorz] 

OS: D£&uzer3z.SetDlagltemTesthH-1l 
DS: D£&user3z.SetlindauwLonaH:?1 
DS: [£&user3z.SetlindawuTestH-] 
O35: Ez&Ekernel32.CreateFileH?71 
0S: Cikkerne L32. Es itProcess?] 
OS: Cikkerne Loe. F indResourceA> 


OS: E£&kernel3z2.GlobalHlloc?1 
OSiCiékernelse.GlobalFrees] ` 





OS: E£&k ernel[3z.GetHodu leHandleA;>1 


rma mMm 


ntdll.kiFastSustemCallRet 


Text = "Walid * You win :1" 
ControlIO = 8 

hind = 44610 
SetOlaltemTeztA 


Text = "Invalid * Haube think about HPF35tec 
ContralID = 8 

hind = 4644614640 

SetOlaltemTeztA 


kernel32.70815D4F 
kernel32.rC81856D4F 
kernel32.7rC81856D4F 


useraz.CallWindowFrocH 
usera3z.DialogBosFaramH 
uzera3z.DrawuTestH 
uzer3z.EndDialoa 
userS2.FillRect 
uszers3z.hBetDlaCctrLllIL 
useraz.GetDlasltem 
uzer3z.hBetDlaltemTestH 
weerse. Inf lateRect 
uzer3z.LoadCurzarH 
user3z.LoadIconH 
usera32.ü0fFfsetRect 
useraz.SendbDlaltemlhessaadeH 
usera3z.S5endhHessageH 
weerse. SetCursor 
uazer3zZ.SetDlaltemTestH 
uazers3z.SetlilindowLonaH 
usersaz.SetlindowTegstH 
kerne loz, CreateF i lea 
kerne loz, Ex itProce== 
kernel22.FindRezourceH 
kernels2.ü8ethHodu LeHandleH 
kecrnel32.GlobalAl loc 
kernel3z.GlobalFree A 


Subimos un poco para averiguarl el lugar desde el cual es llamado el “bad boy". 













































OllyDbg - Saturday Night Crackme.exe - [CPU - main thread, module Saturday] -|| x 
[c] File "View Debug Plugins Options Window Help Tools BreakPoint-> -|| > 
edd sl KI ee) FE] Si | a 
64401514 Fr46 im Loop TEST DWORO PTR OS: [ESI+16]3,14 E 
66401516 =v r4 BD 
66481510 . AFD PUSH -3 dY = FFFFFFFD [(-3, 1 
B648151F . AFD PUSH -3 da = FFFFFFFO [(-3,1 
66481521 » 8046 LC LEA EHS, DWORD FTIR OS: CESI+10] 
6401524 . DÉI PUSH EA pRect = HULL e 
a64a1525 . Es F2610600 &JHP. &user32z.InflateRect? Inf LateRect 
Hagh SZA A BE FOP ESI kernel32.rCS1e6D4F 
pieadad152B . BS minimam MOL ES, i 
664481530 SE LERUE 
Ba481521 . Ce 8880 BETH 2 
66401534 5 55 PUSH EBF 
664481535 . BBEL HOU EBP, ESP 
684481537 ENT ntdll.rcCo28738 
684415385 » Eb 
6640153 qo imm 
66481534 . EH i4 Count = 14 i260.) 
66448153 . 6S 9623000 Buffer = Saturday. #6486298 
66401541 . BH Ha ContralIO = 8 
664401543 . FFrb5 na hind = 6644814 
464401546 . ES CBHI RHE CALL GetDlaltemlextA 
46441546 . WD35 98624008 LEA ESI,OWORD PIR OS: (466290) 
664401551 . B5FS 11 CHP ES, 11 
60401554 BFS Thalassa HZ Saturday 00401604 al 
6648155 . | BFE646 m3 HOWE EAS. BYTE PTR DS:F T3] 
Bieadal155E .|eS3F8 20 CHP EAR, 20 
06481561 .--BFB5 Go) one Saturday. 60481604 
HA461567 . | SoCo “OR ECS, ECS 
6441569 . | 2302 “OR EDS, EDX ntdll.KiFastSustemballRet 
60401566 > | BFEB61C51 HOLZ v EBs, BYTE PTR DS: CECK+EST] 
ISS . | S3FB 44 CHP EBX, dp 
DATE € wer DIE ZU 526104 GE 
Dal CG . | S3FB 38 CHP EBs, Se 
GEI? wer BEE 53616008 
68441581 . | 33CH “OR EAS, EHS 
4684401583 , | ES HSFEFFFF CALL 
66441585 . | S3FH bl CHP EDs, i 
66441558 „vr BFS 43610006 JH 
66481591 . | 3302 AOR EDs, EDs ntdll.KiFastSustemballRet 
66481593 . | 41 INC ECG 
66401534 . | SEO 63 CHP ECs, 3 
684415397 .^| et De 
868401599 . | BO Bina HOW ECR, 1 
piedad 15 9E > | 55F9 B3 CHP ECs, 3 
66401541 w| r4 2B 
66481543 , |HBFB6SC31 FF Hül2*x EBR,BYTE PTR 05: CECK+ESI-11] 
66481545 . | SSEB 38 SUB EBS, 38 
aadaisA ||. | 6606 BR. IMUL EBR Fenn H 
4 k 


Ponemos un Breakpoint en la dirección 401554, reiniciamos la aplicación y nos 
detenemos en la instrucción JNZ. 
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OllyDbg - Saturday Night Crackme.exe - [CPU - main thread, module Saturday] X 

[c] File View Debug Plugins Options Window Help Tools BreakPoint-> -|| x 
n" n" n" n" n" E — | NEN 
up 44X| E] "wi* els a SF 
66481535 GD 98624008 FUSH Buffer = Saturday. 46486298 A 
664601541 BA BS FUSH 8 ContralIO = 8 
Bade S45 FFFS ma PUSH hind = BEBFRICE ("Saturday Night Crackme - 
6401546 ES CDI GetOlaltemfextA 
66401546 2035 96624000 LEA ESI, DWORD PTR OS: [466298] 
66461551 ssFS 11 CHF EAs, 11 
GES vha1008 HZ E 

66481554 . | BFBE46 m3 HOWE EAs. BYTE PTR 05: [ES1+9] 
B41 SSE . | 5535F 20 CHP EA, 20 
Ba4a1561 | BFES 60818080 Je 
Abd4al56r = | 23C9 ADR ECs, ECS user3z.rrDI3F88F 
66401569 . | 3302 ADR EDs, EDS ntdll.KiFastSustemballRet 
66401566 + | BFES1C31 HOLZ EB, BYTE PTR OS: CECXA+ESI] 
Dale . | S3FB dp CHP EBX, 46 
pedals ¿| BFSO SCA1 abe 
Dal CG , | S3FB 38 CHP EBs, Se 
Dal cb «| BEZE 5361 0004 
Bba4e1 551 . | SSCA “OR EAS, EAR 
6441553 . | ES HSFEFFFF 
46844015885 . | 83FH bl CHP EDs, 1 
BaamissBg wel BF35 43010000 
66441591 . | 3302 ADR EDs, EDX ntdlLl.kiFastSystemCal (Rer 
664015935 = | 41 IHC EC usersz.rrDa3FasF 
66401594 . | 55F9 89 CHP ECs, 3 
aadeiser || il 7C DS JL SHORT Saturday. 00401568 
66401593 . | B9 Binmnmaaa HOW ECHR, 1 
A640159E + | 83F9 69 CHF ECA, 3 
6646151 wel r4 2H 
664815483 , |HFB6SC31 FF Hül2sx EBs, BYTE PTR DS: DECETESI-11 
66401545 . | S3bEB 355 SUB EBX, 35 
Be4615A6 . | EBDE BA INUL EBS, EBA, D 
DATE . | BEBGDAZI HOWE EAR, BYTE PTR DS: CECK+EST] 
Ba4e1 Sb . | SEO 3H SUB EAs, 36 
DAT 565 . | HSCS ADO EH, EB 
Ha4e1 567 » | 41 IHC ECR user3z.rrDI3F88F 
Baamdispgs RES IDIU ECS uszera3z.rrLD3Fa8s8F 
66448156 . | S502 TEST EDs, ED ntdlLlL.kiFastSystemCal (Rer 
664481585 .^| 74 Eb 
664015BE “| ES 11618888 
66481503 > | Bo BARBARA HO EC, BA 
Ha4H15C8 . | S302 ADR EDs, EDS ntdlL.KiFasztSustemCallRet 
DAT DCH + |BFBe1C31 HOWes EBs, BYTE PTR DS: CECH+ESTI 
He4H15CE . | SSFB 38 CHP EBA, 20 
664681501 ¿| BFD Föga GE 
66468150 . | S3FB 34 CHP EBX, Se 
6648150 ¿| BEZE Fauni 
664481 SEH . | BS BARBARA HO EAS, D 
BS4G15E5 ||. (ES S4FDFFFF CALL Saturday. 00401353E gl 
4 k 


Normalmente lo que haríamos a continuación es cambiar el valor de la bandera Z para 
evitar el salto y ejecutar línea por línea para ver si aparece el “bad boy". Una vez hecho esto 
volveríamos atrás para parchear todos los saltos que van hacia el *bad boy", cambiándoles a no 
saltar. Pero como esta vez nuestro objetivo es simplemente llegar al “good boy" cambiaremos la 


instrucción JNZ por otra que nos haga saltar siempre a nuestro “good boy". Vemos que la 
dirección del “good boy" es 4016C3. 














































OllyDbg - Saturday Night Crackme.exe - [CPU - main thread, module Saturday] ZEN: 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> ZEN 
n" a a a a BR emm) HEN 
See däi X| Kl ët kal OS AER 
Be46167 . | 6H BE PUSH E puer lapped = NULL F 
Be46167C . (68 AS63408 PUSH pButesResad = Saturday. DAD 2072 
641651 .|68 FRESE PUSH GFF ButesToRead = FF (255,1 
66401656 . | 65 Adée4008 PUSH Buffer = Saturday, DAG 20Dd4 
66461658 . | FF35 AF634000 PUSH DWORD PTR DS5:r48563H7]1 hFile = NULL 
Be461691 . | ES Eapooopop Read i le 
6646156596 . | 3302 AUR ED, EDs ntdll.KiFastSystenCallRet _| 
6441693 . | 33F6 AUR ESI,ESI Saturday. 6406298 
641694 . | BE DlDDGDGDpDp MOL EBS, 1 
6646815 39F > | BFES6S2 H462488085 HOLZ EAS, BYTE PTR OS: CEOx+466244] 
644166 .|S3F8 BB CHF EAs, & 
Be4+616A9 wel r4 BS JE 
B64616AB . | AFAFOS INUL EEX, EAH 
He4616A0E . | BSF ADO ESI,.ERX 
66401584 = |42 INC ED» ntdll.KiFastSustemtallRet 
a64B16B1 .^| EB EC JHF 
64481663 > | S1FB DDDDOD2e CHP EBR, 2° shee 
ooagiepa |] .~| 75 19 JH2Z SHORT Saturday. 08481604 
Be461666 . | S1FE EAð4ġüää CHF ESI,4EH 
.|68 EC&l4BBB PUSH Text = "Walid * You win :1" 
Ex . | 6A As PUSH & ContralID = 8 
Be4616CA . | FFr5 B8 PUSH hind = BEGFEICZ ("Saturday Night Crackme - 
He4616C0 . | ES F408 SetOlgitemTextA 
641602 wel EB 11 
664481604 2 65 14614060 Text = "Invalid * Haube think about HP35tec 
664681609 . EA B8 ControlIO = 8 
444616506 -= FFFS #8 hlind = BREFRICS ("Saturday Night Crackme — 
BE46160E . ES 63500088 SetOlagltemTextaA 
Be4616E3 .. EB ġġ 
BE4616E5 > EB 
Be4616E6 » CE Saturday. DD 220 
Be4616Er . EF 
BB4+616E8 = C9 
He4616E9 . Ce aaa 
HE4616EC $- FF2S AdSe4608 OS: EZ&usersz.CallWindowFracH?1l usersSz.CalllilindawFrocH 
mnadalesFa $- FF25 2656460 DS: [<2u4sercS2.DialogBosParamA;*1 useraz.LDialogBasFaranmH 
maadmiesFsa $- FF25 34584008 DS: Cih&users2. OrawTextA?] weers2. OrawTenthé 
BH4616FE $- FF25 29250444 D5:Dp£&user32z.EndDialoa?1 user3z.EndDialaoa 
Eg $- FF25 9sDC5bB4BBad OS: D[Z&userS2.FillRect?1] userSz.FillRect 
Ap) 754 $- FF25 Hüabüadaügd OS: [£&users32.G8etDlaCctrlID] userSz.GetDlaCtrLID 
664817110 $- FF25 Asse4eaa [i5:[z&usera22.GetDlaltem?] uzerzz.üGetDlaltem 
mnada17186 $- FF25 ACSe4h08 ODS: [£&userzz.GetDlaltemTestH1l weersz.GetOlgiltemTextaA 
He461 710 $- FF25 DAP OS: Cituserse. Inf LlateRect +] user3z.InflateRect 
A461 ree 5- FF25 E450440a DS: [¿Lusera2, LosdCurtsorbzl useraz.LoadCurzorH 
e461 d 20 $- FF25 2564604 OS: E£&usersz.LoadIconH?]l usersSz.LoadIconH 
e461 72E $- FF25 22504004 OS: D[£&usersz.üffsetRect?] users2z.ü0ffsetRect 
ao4oirs4 | $- FF25 84504990 DS: [<husers2.Send0 laltemMessagen?) userg2.SendD la ltentlessageñ El 
4 k 
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Vamos a la instrucción en la dirección 401554 y cambiamos el salto hacia el “bad boy” 
por un salto hacia el “good boy”. 











OllyDbg - Saturday Night Crac cm pm - [CPU - main -|a| x 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> -|| x 






















66481530 
66481531 
664481534 
644481535 
padp1b53r 
SES 


66848153A 
64441530 
644481541 
64441543 
664481546 
664481546 
664481551 


4684481554 
Dal SSE 
Be461561 
SES 
Be461569 
46401556 
p64b156F 
Dal Ed 
Bmn4nis?s 
be4e157 


58 
0046158 
ES 

E 








B 
1 
a 
E 


na4gi521 
SEET 
80481524 
a04a1597 
ETE 
ge4e159E 
60461541 
B04815A3 
00481545 
made SOB 
ge4e1 SAE 
ge4ei Sez 
80481585 
a0481587 
00481555 
Bede SEA 
B46 SEC 


AAA mE 


14 
65 90624006 
GH D 
EE et, op 
ES CBalmaas 
5035 90624060 
BSFS 11 
BFSS 69818888 
BFBS646 qa 
SSFS 20 
DEG, 60618685 
3319 


3302 

BFBO1C31 

S3FB 40 

BFD scmiamsaa 
SSFB 38 

BFSE 53010060 
SSC 


ES ASFEFFFF 
s3FA 8i 
grae 45010000 


ES mlunpbea 
SSF9 Ba 

r4 28 
BFBS65C31 FF 
SSEB 3H 
SEDE HA 
mnFBes4a3i 
S3ES 3H 
HSCS 

41 

FrF3 

S502 

74 Eg 


A 4 d mmm em 














LEANE 
RETH 


mmi Fa 





[v Fill with NOF's 


JHE Saturday. 644681603 
HOWE s EAR, BYTE PTR OS: CESI+9) 


CHP EAS, 0 


BOR ECS, ECA 
HOR EDs, EDX 


CHP EBX, 44 
GE 
CHP EBX, 30 






ADR EAX, EA 
CHF 
BOR EDX, EDS 


IHC ECH 
CHF ES, 9 


EDs, 1 


MOLI EC, 1 
CHF ECs, 


HOUZ EB, BYTE PTR OS: CECH+EST] 









Ex dd NI KI SE) HE] bil: ed] EHE 
HH46152A SE POF ESI Saturday. BAD 206 SS 
44441526 BS 414644044 MOL EAR, 1 


Assemble at 00401554 x] 


da. BAEZA 


= 14 [26,1 
= Saturday. HAD, 2208 
Mb = S 


Baaralcs ("Saturday Hight Crackme - 
Cancel | gItemTeutH 


users2z.rrDi3sFSsF 
ntdll.EiFastSustemCallRet 


ntdll.EiFaeztSustemCallRet 
user3z.rrDI3FasF 


HOUZ EB, BYTE PTR DS: CECH+ESI-1] 


SUB EBs, 20 


IHUL EBs, EBs, GA 
HOLZ a EAS. BYTE PTR DS: CECK+EST I 


SUB EAS, 36 
HDD EHS, EBs 
IHC ECH 
IDIU EC 


TEST EDs, ED 


userazz.rrLD3FasaF 
usersSz.rrDlsFSsF 


ntdll.EKiFastSustemCallRet 
kh 
" 


Pulsamos F9 y vemos que independientemente del código introducido siempre 
llegaremos a nuestro “good boy”. 


Saturday Night Crackme - by haiklr 


valid ! You win : 


About Dance | 





Introducción a dUP2 


Hay básicamente dos maneras de crear un parche: 
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1. Parche de compensación: En este caso debemos saber el sitio exacto del código a 
parchear. Esta opción se suele usar para determinar manualmente el lugar del parche. 
Para realizar este tipo de parches, debemos introducir la distancia desde el principio del 
archivo a parchear, junto con las modificaciones y dUP2 creará una aplicación que 
ejecutará los parches que hemos introducidos. 


2. Busca y reemplaza: se utiliza si sabemos la instrucción que queremos cambiar, pero no 
sabemos el lugar exacto de esa instrucción dentro del programa, o si el programa es 
auto-modificable, las áreas para parchear cambian cada vez que se ejecuta el programa. 
En este caso primero se buscan las cadenas de instrucciones, y cuando se hayan 
encontrado, se reemplazan con nuestras modificaciones. 


Ejecutamos dUP 2 y aparece la ventana principal: 





awp unix 


Project Module Info 


Patch Script | Settings | 


Module — — ` Description 





Seleccionamos “Proyect” -> “New” 
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Patch Info 


omg SSS 
August 15, 2015 | 


created with duP2 


http: diablo2oo? cb net 





Rellenamos la ventana con algunos atributos que finalmente va a tener nuestro parche: 
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Patch Info 


Pach 


Saturday Might Patcher | 
Saturday Might Crackme.exe | | 
mm 
August 15, 2015 | | 


For more patches contact with, 
manuel rey vilarieiamail.cam 





Hacemos clic en “Save” y se abre otra ventana: 
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dUP 2 - *New Project* -iol x] 


Project Module Info 


Patch Script | Settings | 


Description 
[Patch Info] Saturday Night Patcher 








A continuación vamos añadir el parche. Hacemos clic con el botón derecho sobre la 
linea Saturday Night Patcher, y seleccionamos “Add” -> “Offset Patch". Esto añadirá una nueva 
línea a nuestro poryecto: 
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dUP 2 - *New Project” 















[[Patch info] ` MENTA - 


[Offset Patch = EM ` ` 
4 ` Add d 
E 
" ` 
e 
AN Paste ETRAS] mmm 
MEN NEN 
p 
NENNEN | L 
BEEN O O 
NENNEN 
NENNEN OOOO 
A O O 
NENNEN MENU O 
mm L 
WE eesx2tb7ldWdMdlNlkdMMMMggsgs2 NN 
A E 
A LL] 
A 
E E 
A WEE 
A 
Le NN 
o] 
o] 
WEE E 
A (A 
SSES (A 


Haciendo doble clic sobre la nueva linea nos abrira la ventana principal del parche offset: 
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Offset Patchdata Biel x] 


Target File 
File: Ss | 
Old Filesize | Mew Filesize | 
Patchmode 
ch | O] Enable cRC32 check (9 File Offset 


[ ] Dont check original fold) bytes D] Try patching used file 
(Cl Keep original file time L] Fix PE Checksum 
Cl Disable yyovved FS Redirector 









CH virtual Address (YA) 
CH Relative virtual Address (RWA 


Compare Files 


Original File: T | 
Compare 
Patched File: e | 


Add and Edit 
Offset 













BAW Offset Old Byte 









Original Byte 


[— — 
[— — 

Patched Byte [ 
E | sel 
| Clear List | 


Remove 
bem heck [for Loaders] 
L] Enable Memcheck 


Memory Adress 


Memory salue: 


1 


tems 


Down | 


Up 


File ta load in Oll'ydba 
Cancel DE 


Aquí es donde introduciremos toda la información de nuestro parche: 


En File, nuestro ejecutable. Los cuadros de texto Old Filesize, New Filesize y CRC32 se 
rellenan cuando se trate de una aplicación que utilize la comprobación CRC (Cyclic 
Redundancy Check). Este método comprueba cada byte en el ejecutable cuando es ejecutado 
por primera vez y así asegurarse de que ningün byte haya sido alterado con respecto a la primera 
vez que aparecio la aplicación en el mercado.A continuación usará un simple algoritmo para 
crear una llave CRC única. Si algún byte es cambiado, la llave va ser cambiada. 


El grupo ‘Patchmode’ nos permite elegir entre un offset basado en un archivo binario, 
un offset basado en una dirección virtualo o un RVA. En nuestro caso vamos a utilizar el que 
viene por defecto. 


El cuadro “Compare Files” permite comparar dos archivos, el original y el parcheado 


para crear un parche basado en la diferencia entre ambos. No vamos a utilizar esta caracteristica 
puesto que sabemos como va a ser nuestro parche. 
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En el grupo ‘Add and Edit’ es el area principal de los datos. Aqui introduciremos cada 
offset de nuestro parche, el valor del byte original y el valor del byte nuevo. 


Reiniciamos la aplicación y nos situamos en el código parcheado en la dirección 
401554. Si nos situamos en la columna de los opcodes podemos ver que el nümero original de 
bytes es de OF85 7A01 0000. 















|: ens 98624888 LEA ESI, OWORO PTR OS: [4466236] 
: CHP EAR, 11 
ars REESEEES ME Saturday. 66401604 | 
. d MOLZX EAX, BYTE PTR DS:LESIT2] 
: 23F8 Sep CHP EAX, 2D 
e| arab 60618088 
. | 33053 AUR ECA, ECs 
3502 ADR EDs, EDs 


Si activamos el parche en Olly vemos que el número de bytes en esa dirección es: 
00401554 || Geres 69016068 ) |JMZ Saturday. 00481603 


Vemos que solo hemos cambiado un byte; de 7A a 69. Para parchear esta aplicación 
simplemente tenemos que cambiar el 7A en la dirección 401554 a un 69. 


Lo siguiente que tenemos que hacer es buscar la compensación dentro del binario de 
nuestro parche. Dado que el lugar de nuestro parche en el binario va a ser diferente a la 
dirección de la memoria después de que la aplicación haya sido cargada, tendremos que buscar 
el lugar real de nuestro binario. 


Para ello utilizaremos el editor hexadecimal CFF Explorer. Abrimos la aplicación en 
dicho editor y hacemos clic en la opción “Hex Editor”: 








eis 
File Settings ? 
RES H SN y Saturday Night Crackme.exe | x 
Ka -- ~ 
=| File: Saturday Night Crackme.ex rà n =) Ha e P = 
E Ascii 
8] Dos Header 00000030 SHTETEATE: 
i$] Nt Headers 00000040 | 11 13 IE ER 
[8] File Header ünnpnpagdg | OO OO OO OO OO OO 00 00 00 00 00 00 00 00 DD OO [| .......... 
"nien. Ma -o 
=) Data Directories [«] DOOOOOEO (III 5 3 
[E] Section Headers [+] QOOOO00FO M CIS MEE: 
I3 Import Directory E Jed. HE 
= . — AA 
(D Resource Directory 00000120 Mu MM 
2%, Address Converter 00000150 EN suci 
^ Dependency Walker sh m HOE OF 
\, Hex Editor 00000160 ues 
^ Identifier ünangi?7g0 | oo OO OO OO OO OO OO OO 00 OO OO OO 00 00 00 OO |] .......... 
2%, Import Adder OOOO0018O | OO OO OO OO OO OO OO OO OO OO OO OO OO OO DD OO [|.......... 
: : OO000190 | 00 OO OO OO OO OO 00 OO OO 00 OO 00 00 00 OO OO | .......... 
7, Quick Disassembler 00000140 EO EET 
2%, Rebuilder OOO001BO | 00 OO OO OO 00 OO OO OO OO OO OO 00 00 00 00 OO ].......... 
4 UPX Utility D0D001E0 MM 


OOO001FO "EE. 
QOOOO00Z00 | 00 OO OO 00 00 OO OO 00 üü 00 OO 00 40 00 00 40 [|.......... 
00000210 .data....t 
OOO00220 m NEM A 
OOO002350 22.8. A" 
OOO00240 HOI Aa: 
QOOOOO250 | OO OO OO OO OO 00 OO 00 00 00 00 00 40 00 DD CD [| .......... 
0000260 | OO OO OO 00 OO 00 OO 00 00 00 00 00 00 00 00 00 [.......... 





Hacemos clic en el icono de buscar e introducimos los valores hexadecimales que 
estamos buscando. Para evitar que nos salga código duplicado añadiremos los opcodes de la 
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dirección anterior a nuestro parche; 401551. De esta forma buscariamos el valor hexadecimal: 
83F8110F857A010000. 


CFF Explorer VII - [Saturday Might Crackme.exe] | , = E | xj 


File ‘Settings ? 


Ves H [SN A Saturday Night Crackme exe | x 


C] File: Saturday Night Crackme. ex 
















E 


E] Dos Header Find | 


E] Nt Headers 
E File Header [ Match case [ Unicode 


E| Optional Header 

13] Data Directories [x] _ Find | 
El Section Headers [x] 
CH Impart Directory 





Hacemos clic en ‘Find’. CFF nos mostrará donde se encuentran estos valores: 





CFF Explorer VII - [Saturday Might Crackme.exe] 
File Settings = 











H S Saturday Hight Crackme.eze | x 
f P aL. _ MM 
| File: Saturday Might Crackme.ex| d ü = | e P PS I 
e Find 
E] Dos Header String | Find | 


i$] Nt Headers 


la] File Header [ ` Match Case [ Unicode Reset | 
i$] Optional Header ; [esFs110F857A010000 
E] Data Directories [x] Hex d 





3] Section Headers [x] ‘Status: Bytes Found 
i Import Directory 
I) Resource Directory a B E Eo El E scii 
^ Address Converter 00000950 te ` Leiitzt. 
2, Dependency Walker AE d Se d ZE: 
= | Los i.. E 
“iy Hex Editor. | 00000380 346 pil 
^ Identifier 00000990 | 3ómpa JO! 
^^ Import Adder 00000940 EN BE i 
j - - 00000960 111801441 
‘ty Quick Disassembler nnnnnacp LA... 30 
7 Rebuilder 00000400 BI% Mt 
^ Resource Editor DO00009E0 poo BINA 
Ty UPX Utility OO0009FO o GOA JUL | 


00000400 DIT edi 
00000410 &O INE I0 
00000420 AR 
00000430 111101x;Dt 
00000440 EOS 
00000450 ú... ulj.: 
00000460 th... thyad 
00000470 Let Sc. 


| Pos: 00000951 
Gell sl E ai 


Vemos que el offset para el byte que necesitamos cambiar es el 956 (6 bytes después del offset 
950). 








Volvemos a dUP2 e introducimos los valores. Para Offset: 956, para Original Byte: 7A y para 
Patched Blyte: 69. 
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Add and Edit 
Offset J56 


Original Byte | TA 
Patched Byte | Co 





cx | Cada) 
Remove | Clear List | 


Despues de hacer clic en ‘Add’ podemos ver nuestro parche en la lista de los parches: 


PAW Offset Old Byte 


aagagagsss TA ES 





Hacemos clic en “Save” y añadimos nuestra información a al ventana principal: 
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Offset Patchdata 


Saturday Might Crackme.exe 


OOOsS7EOO | 
5UBFAUFZ | 
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dUP 2 - *New Project" 


[Patch Info] | Saturday Hight Patcher 
1 [Offset Patch] d Saturday Night Crackme.exe 





A continuación seleccionamos ‘Proyect’ -> ‘Create Patch’. 


dUP 2 - *New Pre 





Introducimos el nombre de nuestro parche y guardamos: 
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dUP 2 - *New Project" i o | ir | xi 


Guardar como 





Documentos 
recientes 


Escritorio PH ExeInfoPE 
- ae, -LLYTDBG 
Gi af PE Detective 
jx ResHacker 


i =|" 
Mis e, 


SE Saturday Night Crackme 
pe espe 2> Signature Explorer 
am Task Explorer 


Nombre: [parche e | Guardar 
Mig sitios de red Tipo: [EXE File sl Cancelar 





Nos pregunta si queremos ejecutarlo ahora, y le decimos que NO. 





C Documents and Settings usuario! Escritorio. parche efe xj 


| 7 d Patcher/Loader created! 
— a Run it now? 


Saturday Wight parche 
Crackme 





Se habre la ventana del parche. Hacemos clic en ‘Patch’. 
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Backup File: 
Ci\Documents and Settings usuario) Escritorioa,sat 


---PATCHINC DOME--- 





Vemos que el parche ha sido creado con éxito. También vemos que ha sido creado una 
copia de seguridad de la aplicación. Si ahora ejecutamos nuestra aplicación vemos que la hemos 
parcheada de forma satisfactoria. 
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Saturday Night Crackme - by haiklr 


valid | au win : 


Saturday Might 
Crackme 


About 





Nota: Para que esto funcione, el generador de parches debe estar en la misma carpeta que la 
aplicación a la que deseamos aplicar el parche. 


Si en lugar de añadir un ‘Offset Patch’ quisieramos utilizar la opción de ‘Search and 
Replace Patch’ lo seleccionariamos en la ventana de dUP2: 
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dUP 2? - last unsaved project.dUP2 


Les 





Haciendo doble clic en la nueva línea nos llevaría a la ventana de ‘Search y Replace Patch’. 
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dUP 7 -last_unsaved_project.duP? = [Oj xj 


Project Module Info 
Patch Script | Settings | 


Description 


[Patch Info] Saturday Might Patcher 
[Offset Patch] Saturday Hight Crackme.exe 





EEE 





Seleccionamos la aplicación y pulsamos sobre el botón ‘Add’: 
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Search and Replace Patch i -loj xj 


Target File 
compare files | add | Ed t | Remove | Clear List| Up ed check occurrence | String2Hex | 


Search Pattern Beplace Pattern Comment. 





Cl Patch compressed PE File ` CT Disable 440164 File System Redirector — [.] Fix PE CheckSum 
C] Try patching used file (Cl Keep original file time 
Mem heck [for Loaders] 





Cancel | 
L] Enable Mermichezck ?| MemoryAddress (RM A. | MemoryValue: | Cave | 


E 


Introduciremos la misma información que introducimos en CFF para encontrar los bytes 
hexadecimales, cambiando el 7A por el 69: 


Edit Search and Replace Pattern 
search Pattern 
Replace Pattern 





comment Occurrence 
a. 
[C] Patch All 
Cancel | 
~ | . Match only "m | 
“A 
Guardamos: 
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Search and Replace Patch 


Saturday Night Crackme.exe | | 


ESE 





Hacemos clic en ‘Save’y creamos el parche como anteriormente. Si ejecutamos la 
aplicación crackeada vemos que obtenemos el mismo resultado. 


Saturday Wight parche parchez 


Crackme 





Nota: En la pestaña “Settings?” podemos configurar la ventana del generador de parches. 
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7.19 Caso practico 19: Trabajando con binarios de Visual 
Basic (I) 


En este ejercicio vamos a trabajar con aplicaciones escritas en Visual Basic. 
Utilizaremos dos crackme's así como un decompilador para Visual Basic (edición Lite). 


Introducción a Visual Basic 


Visual Basic es un lenguaje de programación dirigido por eventos, desarrollado por 
Alan Cooper para Microsoft. Este lenguaje de programación es un dialecto de BASIC, con 
importantes agregados. Su primera versión fue presentada en 1991, con la intención de 
simplificar la programación utilizando un ambiente de desarrollo que facilitó en cierta medida la 
programación misma. 


La áltima versión fue la 6, liberada en 1998, para la que Microsoft extendió el soporte 
hasta marzo de 2008. 


En 2001 Microsoft propuso abandonar el desarrollo basado en la API Win32 y pasar a 
un framework o marco común de librerías, independiente de la versión del sistema operativo, 
.NET Framework, a través de Visual Basic .NET (y otros lenguajes como C Sharp (C#) de fácil 
transición de código entre ellos); fue el sucesor de Visual Basic 6. 


Aunque Visual Basic es de propósito general, también provee facilidades para el 
desarrollo de aplicaciones de bases de datos usando Data Access Objects, Remote Data Objects 
o ActiveX Data Objects. 


Visual Basic contiene un entorno de desarrollo integrado o IDE que integra editor de 
textos para edición del código fuente, un depurador, un compilador (y enlazador) y un editor de 
interfaces gráficas o GUI. 


Los compiladores de Visual Basic generan código que requiere una o más librerías de 
enlace dinámico para que funcione, conocidas comúnmente como DLL (sigla en inglés de 
dynamic-link library ); en algunos casos reside en el archivo llamado MSVBVMxy.DLL (siglas 
de "MicroSoft Visual Basic Virtual Machine x.y", donde x.y es la versión) y en otros como 
VBRUNXXX.DLL ("Visual Basic Runtime X.XX"). Estas bibliotecas DLL proveen las 
funciones básicas implementadas en el lenguaje, incluyendo las rutinas de código ejecutable que 
son cargadas bajo demanda en tiempo de ejecución. Además de las esenciales, existe un gran 
nümero de bibliotecas del tipo DLL con variedad de funciones, tales como las que facilitan el 
acceso a la mayoría de las funciones del sistema operativo o las que proveen medios para la 
integración con otras aplicaciones. 


Dentro del mismo entorno de desarrollo integrado (IDE) de Visual Basic se puede 
ejecutar el programa a desarrollar, es decir en modo intérprete (en realidad pseudo-compila el 
programa muy rápidamente y luego lo ejecuta, simulando la función de un intérprete puro). 
Desde ese entorno también se puede generar el archivo en código ejecutable (exe); ese programa 
así generado en disco puede luego ser ejecutado sin requerir del ambiente de programación 
(incluso en modo stand alone), aunque sí será necesario que las librerías DLL requeridas por la 
aplicación desarrollada se encuentren también instaladas en el sistema para posibilitar su 
ejecución. 
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El propio Visual Basic provee soporte para empaquetado y distribución; es decir, 
permite generar un módulo instalador que contiene al programa ejecutable y las bibliotecas DLL 
necesarias para su ejecución. Con ese módulo la aplicación desarrollada se distribuye y puede 
ser instalada en cualquier equipo (que tenga un sistema operativo compatible). 


Existen numerosas aplicaciones desarrolladas por terceros que permiten disponer de 
variadas y mültiples funciones, incluso mejoras para el propio Visual Basic; las hay también 
para el empaquetado y distribución, y hasta para otorgar mayor funcionalidad al entorno de 
programación (IDE). 


Cuando cargamos un programa de Visual Basic por primera vez en un depurador como 
Ollly, veremos que se ejecuta inmediatamente una instrucción CALL dentro de la DLL de 
Visual Basic, donde permanecerá hasta que ocurra un evento. Este es el motivo por el cual los 
programas de Visual Basic se les aplica una ingeniería inversa algo distinta. Lo primero que 
veremos es que el call stack no tiene cabida; esto es así porque la mayoría de los tiempos de 
ejecución de un programa se realizan dentro de un archivo DLL; el tiempo de ejecución DLL de 
Visual Basic. No le daremos mucha importancia a este DLL, pero sí a los métodos de 
devolución de llamadas que son responsables de manejar los eventos. 























OllyDbg - CrackmeYB1.exe - [CPU - main thread, module CrackmeY] - |= | x 

[c] File View Debug Plugins Options Window Help Tools BreakPoint-> E |a| x 
" " " " " BR en 1 NEN 
gr 44 X| KI Se) +: HE teal] >: JPA |! 

6644110 E t $ Gë 7A 34h p 
66441315 . El EEFFFFFF 
ġöö4hl 31A . DÉI FTA : [EA], AL 
madai1ailc . AEE ADO BYTE FTA 05: CEAX],AL 
Ha481351E . DH ADO BYTE PTR OS: CEAXI],AL _| 
66461320 . SHEE “OR BYTE FTIR OS: CEAX],AL 
HAT S22 . DEI HDD BYTE PTR OS: CEA], AL 
664401324 . dp INC EAR 
664481325 , DÉI HDD BYTE PTR OS: CEA], AL 
B64B1327 . DH ADO BYTE PTR OS: CEAX],AL 
664681329 . HHH ADO BYTE PTR OS: CEAX],AL 
66441326 . eis HDD BYTE PTR OS: CEBRI,OL 
664481320 "iH DE 9H 
6644132E CF DB CF 
A461 SF EA DB EH 
66461334 2B DB 8B 
664481331 aa DB 23 
6441332 33 DB 33 
66481333 4F OB 4F CHAR 'ü" 
66461334 a3 DB 93 
66461335 54 DB 54 CHAR 'T" 
66461336 BU DE BC 
6441337 OF DE OF 
66441338 EO DE ED 
66441339 HE OB HE 
6646133 aH DB 3A 
6646133B 15 DB 15 
664481330 [515] DB uuu 
664481330 A DB uuu 
66448133E A DB Ae 
6646133F ab DB 66 
66461344 ab DE aa 
664601341 B DE BB 
66441342 Ei OB ol 
66441343 A DB uU 
66441344 SIS DE ma 
66461345 ab DB aa 
66461346 . 36 32 356 34 33 36 58 J ASCII "B2b4SbProgettol", pg 
66441356 . 20 43 36 36 36 2D 64 | ASCII "Coba", H 
66481350 A DB uu 
6644135E A DB Go 
6646135F A DB Hä 
66461364 FF 
664481361 CE IHT3 
66441362 31 DB si CHAR "i" 
66441363 A DB Go 
66441364 . HË DE Bà 
00461365 | . C6 22 680 35 28 SF ASCII "ar 5i?” Y 
al] , 


Otra diferencia está en la manera de manejar las cadenas de texto. La mayoría de los 
cuadros de mensajes, así como todos los demás controles de las ventanas son almacenadas en 
las secciones de recursos. De ahí que buscar cadenas de textos para encontrar secciones 
relevantes no es una opción válida. 
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OllyDbg - CrackmeYB1.exe - [Text strings referenced in Crackme¥:. text] 
[R] File wiew Debug Plugins Options Window Help Tools BreakPoint-> CAE 


Er 4X| Kli €"* E | a TER 
















Text string A 
ASCII "eo 
ASCII "rez" 
ASCII "Giro" 


ASCII "Pez" 
ASCII "PE" 


Address | Disassembly 
668461454| DO NSUBUNEE. adi Fdiu mi&i 
BA461653) DD HGUPUHG D. adj fdivr mi&i 
664601664| DD mnsugumeg. vbaChkstk 
Ba461608) DD mnsuBgunmeg. adi fdiw m3zi 
HAL DD) DD msuBgunméeg.. adj fdivr mSzi 
madogiisb5|nHScII "img", 

BHa461150) ASCII "r9", 

HA461170) ASCII fent, 6 

A461316) PUSH Crackmel. 684013740 
66461546) ASCII sBeB43BProgettol'", a 
Ba461356) ASCII "-Cüamum-", 

66461365| ASCII "aM pre 

HAL ZC ASCII "Formi™,& 

66461S5CE| ASCII "Leincrackme", A 
Be4615E6) ASCII "lt, 6 

HAL AA ASCII Teter 8 

HA461483) ASCII "fff'",ü 

Ha461493) ASCII "FFF" H 

Ba461405) ASCII "rr",um 

664614B2-| ASCII "EFEFEF", H 

Ba461402) ASCII "fffff'",üB 

664614F2| ASCII "EREFFULIB 
madogi5is|HSCII "FFF", B 

Ba461554) ASCII "r'",ü 
madal1553|HScII "fff'",ü 
66461555|/A5C11 "r'",ü 

HHddH1593| ASCII "rFfF'",H 
Hngdgl15pga|HSCcII "FFF", G 

Be4615F4) ASCII "Fr'",u 

Ba4616e3) ASCII '^4f!-",ü 

BE4616EF) ASCII "Forml",t 

Ba4616F9) ASCII "5-7,6 

66461r1r| ASCII "Teutz", H 

Ba461733) ASCII "Testi", 

A461 cat: ASCII "Commande", & 

odp SC| ASCII "&Check*'",ü 

HAL ee ASCII "Commandl",t 
Ba461796) ASCII "About", A 

HAL cé ASCII "Labelz",ü 

Be4617AF) ASCII "Serial:",8 

HAL ez) ASCII "Labelz",ü 

HAL DE| ASCII "Name:", 6 

HAL EE ASCII "Labell”, 4 

BE461969) ASCII "Whoever tries th" 
66461519/ASCI1 "is out and never" 
ma4pg1a22|H2CcII " solves it means 
majalisa9|HSCII " it's a bia lose” 
Haddgdi2429|HSCII "r.... this lente" 


ODairncr^TT F = kb sa d--l 
HR 
Command -| 


Otro obstáculo lo encontramos en los métodos CALL, que son completamente 
diferentes en un ejecutable de Visual Basic. En lugar de hacer llamadas a RegisterWindowEx y 
MessageBoxA, Visual Basic utiliza su propia API para hacer las llamadas, estando embebidas 
en el tiempo de ejecución de los DLL: 











[Initial CPU selection! 









































ef 


[R] File View Debug Plugins Options Window Help Tools BreakPoint-> - [&| x| 
ir| 44 sl KI wäit IS al 


Disassembly Dest ination 


6604901315 Erackmel!, 66441376 [Initial CPU selection) 
HE461315) CALL <JHF.&hSvBunee, 1106 > MSVBUABE. ThunRTHain 

BHE4E2EAC) CALL DWORD PTR OS: LEzg&msupgumeag. MSUBUNBE.  wbahewz 

BHE462F13) CALL DWORD PTR DS:r«&mesugunmeag. MSUBUNBE.  wbaHresultChecküb.; 
BHE462F99| CALL DWORD PTR OS: LEzg&msugumeag. RASUBLIMNSO,  wbaHresultChecküb.;j 
Be46362F) CALL DWORD PTR OS: r««&mHsupurmeag. 155 MSUBLMNESA, etoRandomhert 
HE46S642| CALL DWORD PTR De:Lrz&msugunmeag. ASUBLMNSAO, rtcRandomhert 
Be4636057| CALL DWORD PTR OS: r«&mesugunmnesag. ASUBLMNSA, v teRandamhengt 
HARZ) CALL EOI MSUBUABE.  vwbaRSIntIz 
Be4es6R2| CALL DWORD PTR OS: r««&mesupgunmeag, 158 rmsugurmeas.rteRab 











ai 






Address 


E 
Lj 


H 
Wu 








HH 
qur 








BE4ES6BC|) CALL DWORD FIR DS:rz&nmsugurmmea. MSUBUNEE.  ubaHresultCcheckübJj 
B68448368D06| CALL OWORD PTR DS: [<2MASUBLMEA, MSUBUMNEE.  vwbaFreeVarl ist 
BE483165|) CALL DWORD FTIR OS: C< 8NSUBUNEE, MSUBUNEE.  ubaFreslarList 





BA465193) CALL DWORD PTR OS: [<2ASUBLMEA, 
BE4GS1B1) CALL DWORD PTR DS:LzsHsuglnmea. 
B6844318A| CALL OWORD PTR DS:DpzseMsuBgunmesg. 
BE4GS100) CALL DWORD FTIR DS: C<2ASUBUMEO. 
B64483253| CALL DWORD PTR DS:rzs&HsuBgunmesa. 
Be4es275) CALL DWORD FTIR OS: C<2ASUBUMEO. 
BA48S27E| CALL DWORD PTR DS:rzsemsuBgunmesa. 
BE4eS291) CALL DWORD FTIR OS: C<2ASUBUMEO. 


MSUBUMNBE.  wbaübjSet 
ASUBLNSO,  wbaHresultChecküb.j 
HSuBgumegB.  vbaFreeüb;j 
ASUBLNSA,  wbaFreeübj 
ASUBUNGA.  vbalb.;jset 
HSugupmes.  wbaHresultCchecküb. 
ASUBUNSA. — VbaFreebb 
HSugunmeB.  wvbaFreeübj 














Ll i 





HAD CALL DWORD PTR DS:rzs&meupgunmea. MSUBUNEE.  uwubaMewa 
BE4eS595| CALL ESI MSUBUMEE.  vbaVarMove 
HAD) CALL DWORD PTR OS: LC<2ASUBLMEA, MSUBUNEE.  ubaMewa 
Be4es4e9) CALL DWORD FTIR OS: C<2ASUBUMEO. HSUBUMEG,  vbabLenUar 
BE4ES416) CALL DWORD PTR OS: C2 8NSuBunee, MSUBUMNEE.  ubalarSub 
q6448343B| CALL OWORD PTR DS: C28 ASUBLMEA, MSUBUNBE. X ubalarForInit 
668483468| CALL DWORD PTR DS:rz&meupgurmea. HSUBlmeoB.  ubaMewz 
BA46S451) CALL DWORD FTA DSs:Dpz&HesuBgunmesa. MSUBLUM6A.  ubaülbiset 





BE4ES4F6|) CALL DWORD FIR DS:rz&nmneugurmmea. 
HDAO2EDP CALL OWORD PTR OS: C28 MASUBLMEA, 
BE4ES51C) CALL DWORD FIR OS: C< 8NSUBUNES, 
BA48S523| CALL DWORD PTR DS: C2 &8NsSvBunea, 
BE4ES52A| CALL DWORD FIR DS:rz&nmneugurmmea. 
BA485555| CALL OWORD PTR DS:pzs&HsuBgurmesa. MSUBUNEE. X WbastrMone 
86483530 | CALL DWORD PTR DS: C<2MSUBUMEAO. #59 HSUBUHSB. rteRBUaLIFromBstr 
Ba48S542) CALL DWORD PTR DS: [<2MASUBLMGA, HSUBlHeB. vbarFpl4 


IS ele Wohal4ar 
rtohidcharlar 
HS UBUMEB ` ubastrluarlal 
HEuglmss.rtoHnsaillalueBsetr 
MSsUuBunegB. ^ vbastrIa2 

Ba 








LA, 
m 
diss 
jota 


uw 
Y 





E Cors 




















Ba4a3b53c|CcHLL DWORD PTR DS: LssHsuglmea. MSUBUNEE. —vbalarInt 
Ha4m35HH CALL OWORD PTR DS:DpzseHsuBgunmess. MSUBUNEE._  vuballart at 
Bag4a3b5B5| CALL DWORD PTR OS: C<2ASUBUMEO. HSUBUMEE. vbalarMowe 
B64483504| CALL DWORD DIR DS:DpzsHsuBgunmsa. MSUBUM6A.  ubaFreeStrList 
BE46S508|) CALL DWORD FTIR OS: C<2ASUBUMEO. MEUBUM&B. vbaFreeObj 
B64A35F5| CALL DWORD DIR DS:rzsHsuBgunmesa. MSUBUMNCO. X ubaFreselarL ist 
BE48S613) CALL DWORD FTIR OS: C<2ASUBUMEO. HEUBUHEB. ^ vbalarForHext 
Bpa4md3644, CALL DWORD PTR OS: C2 8.NSuBunee, MSUBUNCO.  ubalarTstEg 
Be4es673) CALL DWORD PTR OS: C<2ASUBUMEO. MSUBUNEE.  wvbaFreeStrList 
BE4ES367F|) CALL DWORD PTR DS:rzsmeuBgurmsa. HSUBlmeBg.  ubaFreeübj 
BE4eS6C8) CALL DWORD FTIR DS: C<2ASUBUMEO. HS MEUMEE. 





JbaFreelarL ist ¥ 
a 


(d o ru TDilicDf TO Duca Fo ACIDI IRM a sl ACI Imc 
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Si hacemos doble clic en cualquier de estos métodos veremos que no 
cadenas que nos puedan ayudar, ni API’s a llamadas conocidas. 


OllyDbg - CrackmeYB1.exe - [CPU - main thread, module CrackmeY] 
[c] File View Debug Plugins Options 


Bmnda34235 
DAD 2426 
WISELER 
DAD 2420 
26443436 
6403441 
pa64as44r 
pb64b3440 
pb64bs44F 
IESEL 
Bo4n345H 
IESEL AR 
Be48S45E 
IESEL 
Bmn4ao3468 
p64B346E 
06483473 
BB48s475 
BB48S476 
BB48S4"°C 
BB48S47°F 
DAD 240 
BE46S451 
Bmn4np348r 
BE48S43C 
BE48S45F 
Bmn4ao3425 
06403496 
pb64034A1 
Be4es4A4 
Be4834AA 
BB48S468 
26443461 
pa4as4Br 
BB48S465 
BE48S4BE 
BE46S4BF 
Be48S4C8 
Be4e6S4CA8 
Daag 
pb6463406 
6646340 
Bamn4ao34E2 
DAD AE 
Bn4a34F3 
064834F5 
BB48S4F6 
BB48S4FC 


a dE 


44 x| kill = 
H 


2055 EB 
51 
Ez 
FF15 
aB3D 
SB10 


46164088 
28144000 

24104004 
GER 


BFS4 C9610000 
Hi 16504600 
SCH 


rb 15 

GC 10504800 
6s 451F 4808 
FF15 AB184068 
Hi 1584888 
GD 


5B 

FF31 BmBaSmnamaun 
S055 B4 

5B 


52 
FF15 4C164006 
Es 10006800 

D Eb 


BCFFFFFF 
ECFFFFFF 
ECFEFFFF 


Ad 
&CFFFFFF 
E4FFFFFF 


E4FEFFFF 
?AFFFFFF 
FCFEFFFF 
FdFEFFFF 
BÁFFFFFF 
EdFFFFFF 
E4FEFFFF 
&4FFFFFF 


CBiB4BBH 
64FFFFFF 


Ad amaanaan H 
armar 





F 
e 88968 


Window Help Tools 
HE A] a 








PUSH EAS 


PUSH ED 


CALL OWORO PTR DS:re&HMSUBUmeB. __ 
MOL EDT, DWORD PTR OS: E ASUBUMNGA. — vbalarflu l>] 
MOU EBS, DWORD PTR DS:rpre&MSUBUmeB. vhallerAdd >] 


TEST EAs, EA” 


MOL EAs, DWORD PTR OS: [465016] 
TEST EAs, EA» 


JNE 
PUSH 











MOL EAS, DWORD PTR Os: [465616] 
MOL EC, DWORD PIR OS: [EA] 
PUSH EAX 

CALL OWORO PTR DS: CECK+388] 
LEA EDs, 
PUSH EA 
PUSH EU 















PUSH EA 
PENSE 





EreakFoint- = 


FUSH 
CALL OWORO PTR DS:rz&MSUBumes. — 


CALL OORE PTR DS: 22 ASUBUMNGA. . 


CALL DWORD PTR DS: C<2MSUBUNGO. 
DWORD PTR SS:LEBP-9C1 


encontraremos 


ntdll.KiFastSustemECallRet 
ASUBLMNSA, —vballarForInit 
ASUBLIMNGA, —vballarHul 
ASUBLUMNGA. ` VbalarAdd 


ubalarForInit:?1l 


ubahewz zl HSUEH.  vbalewz 
ntdllL.KRiFastSystemCal (ber 

VbalbjSet >] HSuEglmégd.  vbatbj Set 
ntdll.KiFastSustemECallRet 

ubaldlar?] HSuUBLUmHeB. — vbaldlar 


Be 


Antes de listar las herramientas que tenemos a nuestra disposición, veremos la 


estructura básica de un ejecutable de Visual Basic. Una vez cargado CrackmeVB1.exe, que esta 
compilado en código P, vemos la lista de funciones en el binario (para ello debemos subir hasta 
la primer linea en Olly). 
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OllyDbg - Crackme¥B1.exe - [CPU - main thread, module CrackmeY] m |E | x 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> WIRE 
" " " " " BR —| EH 
Pese [54] w[n] wi H A 4 [m]? 
664616668 <] .  b5eHBHA4Hr3 E 
664616604 <] . 44594873 
padelaundga <] .  FCBi49rs 
HAL DL Ch .  BD6949r3 
pnadelald Ch .  eébSSOdHrP3 
pnandslalid Ch,  PElB4ArS 
pnmndslauia s] . CEASSCT3 
BB46181C s] .  S42Hda8r3 
pnandslaza s] .  r31804Hr3 
nmndninz4 24 . 4E624973 
664616228 i4 . COB6SCT3 
nmndnin2zt; 24 .  SBB4d4B8r3 
66461638 zi . —O56849r3 
66461634 <] . Eld4BSCr3 
pnadeBlu2a8 ch .  BEBld2837r3 
HALL s] .  BmH262d2r73 
HAL 84 Ch .  Sb5B9dHr3 
HpApl844 Ch,  FC2Hd8r3 
HDADlLD4D Ch, 292F4873 
B64B1B4C ch,  ESd23Cr3 
Bo64B1B56 s] .  sHe2d973 ASCII "PEGA" 
nmndmnimnb4d 231 . 38453073 
664616853 < Oe 240 7 ASCII Tom 
BE46185C < 5E4dB34"ur3 
66461064 z H3B44873 
66461664 «< AF443E 73 ASCII "rüuypz" 
HDARL GD x BFOSSBrs 
HDARLOGL « E&BB4HT3 
HDARL OCH x SA6 94973 
naüdeBluürd £1 .  SBESS3Cr3 
nmndmsBlara Ch .  B9B449r3 
nmndmslarc s] .  rCcerdrra3 
nadelaasí Ch . CCOEFArS 
nmndmnimnzd <] . SB4ESCrS 
66461688 <] . 10664973 
B64B16S8C 24 . 4E634973 
664616968 24 .  rFS9DAHr3 
66461694 <] . CG 
HAL BO Ch .  CBbBHd23r3 
HAL B2L s] .  A1B249r3 
HAL DD Ch .  HCCPT3Br3 
HAL 84 Ch .  BBRAB4ArS 
BE4618AS Ch, CEB249r3 ASCII "PEGA" 
BE4618AC <4 . CEG34973 ASCII "PEGA" 
Bo64BR1BB6 ch .  BB4esCra 
6641654 $] . 26234973 
66461668 24 . —305049r3 
BE4BIBBE < SEDESATS 


4 




















AA AA ac 





oe 


Bajando un poco nos encontramos con la tabla de saltos. Esta es similar a la mayoria de 
los binarios de Windows, y está aqui para ayudar a reubicar el código: 






































OllyDbg - CrackmeYB1.exe - [CPU - main thread, module CrackmeY] " | = | x 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> -|| x 
" " " " " Rem | HEU 
el dd xl KI bat ob alt e EE 
6644119 DE 2C app DO Crackmeu.tmnbaiadmp3cpnr E 
Hnaadn11Hma .— FF25 64164608 OWORO PTR OS: [<4MSUBUMSH. —vbachkstk71 ASUBUMNGA.  v«bachkstk 
66441106 $- FF25 24104066 DWORD FTR OS: 1<2HASUBUNGA. —sbabEsceptHandler MSUBUMGA, ` vbaExceptHandlecr; Structured exc 
664411A€ > FF25 90104466 DWORD FTR OS: [<2HASUBUNGA.  whaFPEsxcept ion?]) MSUBUMGA, ` vbaFPE:=cept ion 
66441162 .— FF25 50104466 DWORD PIR DS:Es&HSUBUmMeB. ad ji_fdiu_mi6i>1 ASUBUNCSA. adi fdi'v ml&i 
66441165 .— FF25 3C1 64608 OWORO PTR OS: [<4MSUBUH6R. adj rdiu m3271 ASUBUMAGA. adi fdiv m32 
6684411BE .— FF25 HOLRADDD OWORO PTR DëstcRhGUDUbGp, adj. f£di« m32i71 ASUBUMNGA. adi fdiv mse i 
mada811c04 wv FF25 24164608 OWORO PTR DS:EsgHSUBglmed. adj fdiuv m54171 ASUBUNSA. adi fdiv m&4 
HAT LH .— FF25 Blad DWORD PTR OS: [<2HASUBLUMGA. adj fFdiv r1 HSUBUHER, adi rdiu r 
66481106 .— FF25 551044066 DWORD PTR OS: [<2HASUBURGA. ad j_fdiwc_mi6i>1 ASUBUNCSA. adi fdivr ml&i 
6644811086 .— FF25 B41 64608 OWORO PTR OS: [<2HSUBUMNGA. adj fdivr m32?1 ASUBUMNGA. adj_fdivr_mse 
66461108 .— FF25 ACI a466u OWORO PTR DS:r&&HsuBgunmes.. adj. Fdivr. m32i171 HSUBlHegd. adj fdivr m32i 
SSES .— FF2S 8Cla4ene OWORO PTR OS: CeBhsuBunee,. adj fdivr m54371 HSUBUMBE, adj_fd tvr_me-4 
A1 1ES .— FF2S Clopp DWORD FTR OS: [<2HASUBLUMGA. adj fpatanzl ASUBLRGA. adi fpatan 
664411EE .— FF25 88184688 DWORD FTR DS:Ez&HSUBUMeB, adi fprem-l ASUBLURNGA. adi fprem 
Be4611F4 .— FF25 36184688 DWORD FTR OS: [<2HASUBURNGA. adi fFpremil ASUBUNCA. adi fpreml 
664411FA .— FF25 &C1 64608 OWORO PTR OS: [<2ASUBLUMNGA. adj. fptan?1 ASUBUMGA. adj fptan 
66441206 .— FF25 04104604 OWORO PTR OS: C<2SUBLIM6A. Clatan >] ASUBUMNGA. _Elatan 
66441206 .— FF25 #8184608 DWORD PTR OS: L1<2HRSUBUM6GA. _Elcos.] ASUBLURNGA. _Elcos 
66441200 .— FF25 ES1mn4nmaa DWORD PTR DS:pEz&HSsUBpliM&B. Clezsp?1 HSUBUMER, CIlesp 
GIS SEA .— FF25 83Clim4Bmaa DWORD PTR DS:Ez&HSUBlmHes. CILoa?] HASUBVUNEA. CT log 
66441218 .— FF25 &C 164608 OWORO PTR OS: [<2HSUBUMNGA._Cl< in*1 ASUBUMGA._El< in 
6644121E .— FF25 ra1ó04604 OWORO PTR OS: C<2MASUBLIM6A. Cleqrt >] ASUBUMNGA. Cleqrt 
SIS IS) »- FF25 Elan OWORO FTA OS: [<2HSUBUNGA, CItanzl HEUBglmegd. CItan 
rieadag1izzH .— FFzB DCL DWORD FTR DS:Ez&HSUBlmerp. al imul] ASUBLRNGA. al limul 
66491230 .— FF25 EC Loop DWORD FTR DS:Es&HSUBUMeB.  wharFree0bj >] ASUBLURNGA. —vbaFreseüb.i 
66441236 .— FF25 40104066 DWORD PIR OS: [<2ASUBUNGA. — VbaDb ¡Set >] ASUBLVMNGA, ` VvbaDb. ¡Set 
66461230 .— FF25 20104604 OWORO PTR OS: [<2ASUBUMNGA. —vbaFreelarList*1 ASUBUMNGA. vbarFreeVarList 
6441242 .— FF25 08164608 OWORO PTR OS: [<2HSUBUMNGA. — »paRsSIntI2z71] HEUBlMegd.  vbaBRSIntIz 
66441248 .— FFzB 10164666 DWORD PTR DS:EZz&HSUBlUmneB. 13523871 ASUBLUNGA. rtcRab 
6640124E .— FF25 44164688 DWORD PTR DS:EZS&HSUBUMeB., 1359371 HSUBUHES, rtcRandomhHegs t 
66401254 .— FF25 34184688 DWORD PTR DS:Es&HSUBUmHeB, vhaHresultCheckO HSUDUHIGD, vbhaHresu lt Check Obj 
66441254 .— FF25 Hüalmdabna OWORO PTR DS:ps&HSUBlunmead. —vubalMew2:1 HEUBglmHead.  vbalewz 
66441264 .— FF25 14104604 OWORO PTR OS: [<2ASUBUMNGA. ` vubatreellarc3) ASUBUMNGA. ` ubatreellar, 
66441266 .— FFzB &Ccimndnaa DWORD FTR DS:Es&HSUBglHep. whallarTstEq?] ASUBLURGA.  vballarTst Eq 
66441260 .— FFzB E4di1m4naa DWORD FTR OS: [<2HASUBUNGA. — vballacrFocHext >] ASUBLURNGA. —ballarFarMeast 
DAD 2 .— FF25 Polocdop DWORD FTR DS:Es&HSUBUMeB., wharFreeStrList?]) MSUBUMGA,  vebaFreestrList 
nadar .— FF25 Clan OWORO PTR OS: [<2ASUBUMNGA. — vhal4War >] HSUBLUHIGD, ` X vbalduar 
66441271E .— FF25 68164608 OWORO PTR DS:re&mHsugunmeas. 163271 ASUBLUMNGA. rt ch idCharVar 
6441284 wv FF25 34164608 OWORO PTR OS: [<2HSUBUNGA, — spastrlUarual?1 HSLUDLUHIGD, `  vbastrlarlal 
66441258 .— FF25 20104406 DWORD PTR DS:Ez&HSUBUmHneB. 13518671 HSUBUHER, rt cAns (Wa luebstr 
66401290 .— FF25 44104006 DWORD PTR DS:Es&HSUBUMeB, ` vbaS5trl2>] ASUBUNGA. — vbastrlz 
66401256 .— FF25 08184888 DWORD PTR DS:Es&HSUBUMeB., — sbastrhHovse] ASUBURNGA. —ubastrhase 
6644129 wv FF25 Fale4een OWORO PTR DS:rs&msupgunmeas. 1538171 HSUBlHeB.rtcRBSllaLEromBstr 
mnadn1izma .— FF25 CC1la4608 OWORO PTR OS: [<2MSUBLUMGA,  vwbaFpI4] HEUBlMegd.  v«vbaFpI4 
66441288 .— FF25 C41 4608 DWORD FTR OS: [<2HASUBURNGA.  vballacAdd:>] ASUBLURGA. —_vballacrAdd 
HAD AE .— FF25 20164006 DWORD FTR OS: [<2HASUBURNGA. — vbalarhful?1 ASUBLAGA. —vbalarHul 
anqaize4 | .- Free Adiodaaa DWORD PTR DS: LIELER,  vbalarInt?l NSUBUNEG. —ubaVar Int 
4 


oft 


A continuación llegamos a la sección donde los binarios de Visual Basic almacenan sus 
recursos. Una cosa a tener en cuenta es que Visual Basic utiliza el nombre real de la devolución 
de llamada; si queremos que *MyButtonCallback" maneje el evento botón, se utilizará esa 
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cadena de texto para hacer referencia a ello. Este es el motivo por el cual veremos algunos 
nombres de devolución de llamadas embebidos en la sección de los recursos. 


A continuación vemos un ejemplo de los botones ‘Check’ y ‘About con sus respectivo 
devoluciones de llamadas. 





OllyDbg - Crackme¥61.exe - [CPU - main thread, module CrackmeY] 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 
edd si KI wat BE adi a EIE 
GIS e HS DE 3 


zb 


Ix |x 







66441748 ea OB 2 CHAR "I" 
SEN ac DE ma 

HAT dat ad DB ma 

66401r4E ar DE Be 

66441745 as OB B3 

66441740 as DÉI as 

HAT dat ad DB op 

Be4e174F . 43 GE 60 60 61 6E 64 J ASCII "Command", E b —— 

664417155 pia OB #4 

66441759 al OB ol 

HAT dn Br DB ar 

66401r5E Bg DE mg 

Al rS . 26 45 568 65 63 6B 21 ASCII "XCheck t", 6 

664417164 pa OB B84 

6644lr65 Of DE 06 

66401166 B2 DE az 

HAL cc eB OB 68 CHAR '"'" 
66441768 pa OB ma 

mnindadires BF DE BF 

HAT GH Ba DB B4 

nadairveB Tr DE rr CHAR "w" 
664417166 Bi OB ol 

Be4e1760 11 DE ii 

HAT cGE B2 DB Hz 

Al cet D DE Gu 

HOA cn FF OB FF 

Be4eirri as DE B3 

mnmnddirrz 28 DB 2 CHAR "g" 
mnadgdirr3 Bg DE BB 

mieadairvr4 A OB Bn 

Be4h17 7S A OB a" 

Be4e1rré B2 DB Hz 

Hal rrr as DE Ba 

HAL rs D DE Gu 

Be4e17 TS . 43 GE 60 60 61 GE 64 J ASCII “Commandi™,& A 

664alra2z Ad DB B4 

66401183 Hl DE Hi 

HAT cO D OB Bà 

664417185 A OB a 

Be4e1 76 . #6 41 62 GE 75 v4 66 | ASCII) "About", B 

6646817180 Ba DE B4 

HAL cOE dp OB dp CHAR "im" 
St (Gas DÉI OB HE 

664017196 GD DE 68 CHAR '"'" 
664017191 Ag DB m9 

HAL Poe ar OB 3T CHAR "ei 
Ste as DE as AA 
4 


Bajando un poco mas llegaremos a la devolución de llamadas de los eventos. Los 
métodos de devolución de llamadas son generados por los usuarios para manejar varios eventos. 
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OllyDbg - CrackmeVBl.exe - [CPU - main thread, module CrackmeV] 
[4 File View Debug Plugins Options Window Help Tools BreakPoint-> 
el dd] x| Kl wäi eb a 


HOP 
NOP = 










ai 












DDADZE 2 
Baanm2rFa3n 38 












DDAD2E2E Op HOP 

HE4h2F SF a HOF 

Bäd4hzF 4i 2» BB FUSH EBF 

Ba4h2F4 1 . SBEC HOU EBF, ESF 

Ha4h2F 45 . SEC BL SUB ESF, AC 

Be4h2F46 BS 46114668 FUSH Se SE handler installation 
aadaAa2F4E . 64:01 SERRE HOU EAR, DWORD PTR FS: Ce] 

He4h2F51 . 56 PUSH EAR 

DDAD2EEZ . 64:5925 AHAHAHAH HOU OWORO PTR FS:EBI,ESF 

Ha4e62F59 . SSEC BL SUB ESF, oC 

Be462FSC . Dä FUSH EBs 

He4e62F50 . Eb FUSH ESI 

DDAD2EEE eae FISH EDI ntdll.rcC928738 

DDAD2EEE . 5565 F4 HOL 

Ha4+heF 62 . C745 Fa 66114666 HOL 

HA4H2F 69 . BBr5 H8 HOLD ESI, DLrackmeu.zHodu leEntryPoint > 
DDAD2EGC . BELÉ HOLU EAR, ESI 

He4h2F6E . SSEG Hl ARO EA, i 

DPE el . 8945 FC HOL EAS 

DDADZ2E dé =  SZEG FE AHO ESI,FFFFFFFE 

DDAD2E dd » Eb 

DDAD2E rs =. 2975 ma 0 El 
DDAD2E cb . BBE HOU EC, OWORO PTR OS:CESII 

DDAD2E et , -FFS1 Bé (CALL OWORO PTR OS: CECK+4] kernel32.7C816D4C 
DDAD2E 8H . EBlÉ HOU EDR,OWORD PTR DS: [CESI] 

BpadmFSc . 56 PUSH ESI 

Bäd4hzF 2S . FF32 Fžġéġöġä CALL OWORD PTR OS: CEDK+6F 3] 


DAF .  S5rDB 
aaada2rsB ve CH 12 
DAF . DS Fanegman 
DAF 68 CH254BBB 


TEST EAs, ERA 
PUSH Gr 
PUSH 







DHADZEO . Gë PUSH ESI 
BE4H2F OG . DÅ 
AE4H2F 99 . FFiB5 34164688 


agaa2ror > Crd45 FC mamans 
DAF . SB45 BS 


PUSH EA 
FALL OWORD e id ASUBUMSO. —vbaHresultCheckübj = 
MOL EAS, 


CrackmeW, <Mody leEntryFoint > 





DAF » 56 PUSH EAS 

Be462FAA . DD MOL ECH,OWORD PTR OS: [EA] 

aa4aA-FAC . FFSi 6S CALL OWORO PTR DS: CECK+8] 

adgaa2rBr . SB45 FC MOLI EA», 

adaa2rE2 . SB4D EC MOLI EC, 

DAF = Sle POP EDI kernela32.rC818D4F 
agada2rBEsS BE POP ESI kernel32.7C818D4F 
DAF 64: 5900 aamansaa MOL DWORD PTR FS:L81.ECX 

BG482FBE BE POP EBS kernel32. 1CS1604F 


Baanm2FBF 


ZC d man s 


ESF, EEF 


BES 


meam coe 


m 


AEN d crar 


E ` - 
4 + 


Finalmente llegaremos a las tablas de importación de direcciones o IAT (Import Address Table). 





OllyDbg - Crackme¥B1.exe - [CPU - main thread, module CrackmeY] z EI 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> - [5 





gr 44x| KI HE] elis o 








664685011 GE DE “E al 
pad asia GE DE “E 

664683013 SE DE “E 

664683014 ac3aDaaaad DD meaasg3pasc Struct 'IHRGE IMPORT DESCRIPTUR" 
66463015 FFFFFFFF DD FFFFFFFF 

664683010 FFFFFFFF DD FFFFFFFF 

Be4hS02H 34360004 DD HABASES4 

Ba4hS024 Hl D DD bobina 

aadaAso2a HDD DD DEI Struct "'IHRHGE IMPORT, DESCRIPTOR" 
Dan HDD DD DEI 

Beam HDD DD mamma 

pad 63054 Ei EI DD mee 

Be46S055 HDD DD Op 

Be46S035(C 425 ERHH8 DD maagg3Ed2 Import lookup table for "'HeuUgunmeas.DLL" 
pad esae ZE Doan DD maag3Ep5n 

66403044 BEZE Doan DD oupp2EEE 

66403045 ESSERREE DD maagag3pe8 

DAD TESERREE DD oupp2Ece 

pad aas ae3EBana DD oupp2EGe 

DAD 26 2E 0666 DD GDpoo2EOe 

DAD jiCB2BHgaSH oo smmmm24c 

DAD HG2E oan DD BmHaBHSEHÓ 

Dann BH3EBBBB DD BmHaBH3EBH 

IS SEI LHZ2E oan DD BEEESECA 

66463065 mamas DD 266624 

pad aspec DEZE Doan DD meaag3EDE 

pad asma ECSERHHE DD umaag3EEC 

pad asa B4SF aaa DD meag3Fua 

pasadas ]23Fünmaa DD opp 

DAD et 2ear amma DD maasg3ra2 

pad ases 51624650 DD 26666251 

pad aspe Baum DD Zzmaagagm2e3 

Baaaspmass Za 2EDDDnp DD Dog 24 Es 
Beans 425F 0888 DD DEE A2 

Dapp 543F oan DD maBH3FB54 

aa4ASO09d4 GE Gan DD DEEG 

Ba4HS098 TASF RABE DD BmaBH3SF?H 

pad aspsc raeuzadaa DD S8bee27s 

pad asma a43F 0008 DD maag3F24 

66463044 sell] DD opp? 

pad asas He3F Doan DD maag3FHe 

Be46S0AC Be3Füanaa DD maaag3FBES 

pad asl DC43F 888 DD oupp2EC 4 

pad asma DH3F Doan DD oupp2EDn 

piadaasngse E4sF 888 DD maasga3FEA 

Ba4eS0BC miami DD Basan 

EBieaaspcg HE Ap DD BmaBmadnBaE 

08482004 24480009 DD 26aB4n24 y) 
4 k 


A la vista de la escasa información obtenida por Olly, nos ayudaremos de la herramienta 
VB Decompiler Lite. Dicha herramiento nos ayudará a decompilar el código de Visual Basic, es 
decir nos ayudará a convertir el código P de vuelta a su estado original, el código fuente de 
Visual Basic. Asimismo nos ayudará a ver los recursos embebidos en los ejecutables de una 
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manera más amigable. Ejecutamos pues VB Decompiler Lite y lo primero que aparece es la 
siguiente ventana principal: 


EN vB Decompiler Lite v9.0 
File Tools Plugins Help 





FileName; | d Decompile | 





Objects Tree: 


hé 
+|=|4 k 


WB Decompiler bv DotFix Software 


Seleccionamos nuestro crackme y le decimos que queremos decompilarlo ahora: 
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FP" vB Decompiler Lite v9.0 m -|| x| 
File Tools Plugins Help 


FileName: [C:Documents and SettingsusuariolEscritorio|CrackmeWBl.exe a Decompile | 





Objects Tree: 







YB Decompiler xl 


hy ? j Do you want to decompile this program now? 


C eu 


hé 
+|=| 4 k 


WB Decompiler by DotFix Software 


Si todo ha ido bien el decompilador nos muestra el siguiente mensaje: 


PY vB Decompiler Lite v9.0 l ale] x] 
File Tools Plugins Help 


FileName: = C:\Documents and Settingsiusuariot Escritorio rackmew B1 exe T | Wat | 








Objects Tree: Native Code 

ën Project Type-EXE - 

| BMC Forms Reference-*XGI00020430-D000-0000-CODO-O00000000046)42. 0808. A. A. A. . WINDDUSA S? 
E Form Form-Forml.frm 


Module=Mo4du1e1: Modulel.has 











RE Forme Module=Modulez;¿ Modules. has 
y UserControls Fi E 
e E Info xj 
a Code 5 J 





H-E] Form 
H-E] Module? 
H-E] Module? 


H-E] Form2 


Decompiled OK, 





RevisionVer-ü 
Command3z = "” 
HelpContextID = “0T 
CompatibleMode = "0" 
AutoIncrementVer = (|! 
ServersupportFiles = 0 
CompilationType = Ü 
OptimizationType = Ü 
FavorPentiumPro[tm) = 
CodeVievDebuglnfo = ü 


Moàliasing = Ü T 
+) =| 4 k 


ü 
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La mayoria de la informacion de este crackme es irrelevante. Lo importante a tener en 
cuenta es que podemos observar que existen dos formularios dentro de la carpeta de Forms; 
Forml y Form2. Se trata de los recursos asociados a cada formulario. Podemos suponer que la 
aplicación tiene dos ventanas; una será la ventana principal y la otra corresponderá a la ventana 
‘About’. Verifiquémoslo haciendo doble clic sobre la aplicación: 





Whoever tries this out and never solves it means it's a 
big loser... this ent a big deal, so u must do that 
before doing anything else... ifu don't manage to solve 
IL... ga and hide yourself for ever and ever! Amen. 


Name 


eg 


Serial: | 


Check! | 


Leimcrackme.... Autore: nessuna 
(l'autore si vergogna di questo coso 
enon vuole che il sua nome venga 
ulteriarmente infangata.] Anzi dal ve 
la dico.. i| vero autore sona Io. 


Cabe mencionar dos cosas: 1) vemos que la ventana "About está en un lenguaje distinto 
y 2) no podemos hacer clic en el botón de ‘OK’ dentro de la ventana ‘About’. 


Si hacemos doble clic en *Form2" dentro de la carpeta Forms veremos los distintos 
recursos con sus atributos de Form2: 





L4 VB Decompiler Lite v3.0 
File Tools Plugins Help 


FileMame: 





C:\Documents and Settings usuariol|Escritorio|CrackmeVe1 exe 


TT | Decompile | 





Objects Tree: 


ESO Project 
ELCH Forms 





E Ru 
| 43 UserCantrals 
c E Code 

H-E] Form 

El Module? 

H-E Module? 


Native Code 


VERSION 5,00 
Begin VB.Form Forme 


scaleMode = 1 
4utoRedraw = False 
FontTransparent = True 
Borderstyle = 3 'Fixed Dialog 
‘Icon = n/a 
LinkTopic = "Forme" 
MaxButton = |! ' False 
MinButton = Ü BE 
ControlBox = Ü 
ClientLeft = 45 
ClientTop = 45 
ClientWidth = 3705 
ClientHeight = 1500 
oahowlnTaskbar = Ü ' False 
atartUpPosition = 3 'Windows Default 
Begin CommandButton Command. 
Caption = “OE” 
Left = 1320 
Top = 1320 
Width = 655 
Height = ¿5 
TabIndex = 
Default = - 
End 


+|-| 4 
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3 El API Begin Label Labell 
Caption = "Form2.frx":0 
Left = 450 
Top = led 
Width = 2535 





Podemos ver un botón con el texto “OK”, una etiqueta con el texto en otra lengua y un 
método de devolución de llamada para el evento del botón ‘OK’; ‘Command1’. 


Haciendo doble clic en Form! veremos los atributos de la ventana principal: 


dl VB Decompiler Lite v9.0 ` Wi El 


File Tools Plugins Help 


FileName: [C:\Documents and Settings |usuariolEscritorio|CrackmeWBl. exe aie | Decompile | 





Objects Tree: Native Code 
=f. Project VERSION 5.00 x 
: Elica Forms Begin VB.Form Forml 
EE SE Caption = "Leincracknme" 
im Farmi 
i = 2caleMode = 1 
: E Forme ÀutoRedraw = False 
+ y UserContrals FontTransparent = True 
O Code BorderStyle = 3 'Fixed Dialog 
mE Formi fear = Morn), EECH 
: LinkTopic = "Form" 
ET Module? 
MaxButton = 0 ! False 
SE Modules MinButton = Ü "Palaz 
H-E] Forme ClientLeft = 45 
a E] API ClientTop = 330 


ClientWidth = 4680 
ClientHeight = 2940 
ShowInTaskhar = Ü 'False 
StartUpPosition = 3 ‘Windows Default 
Begin (TextBox rex tz A -—— 
Left = 1440 
Top = 1920 
Width = 27% 


Begin (TextBox )Tex tl ën 


Left = 1440 - 
+|=| 4 k 
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=) E Project Width = 2775 
: GC Ens SS = Ban 
i E nder = 5 
| : ae Fab Form i 
a Fi Lj Form? Begin CommandButton Command2 We 
: Y UserControls Caption mese" 
=) Ee! Code Left = 720 
H-E] Formi Top = 2400 


Width = 1215 


H-E] Modulet 
Height = 375 


H-E Madule2 TabIndex = 2 
H-E] Formz End 
m E] AFI Begin Command Button Commandl b 


Left = 2660 
Top = 2400 
Width = 1335 
Height = 375 
TabIndex = 1 

End 

Begin Label Labelz 
Caption = "Serial:" 
Index = 1 
lett = 360 
Top = 1920 
Width = 655 





B Project Begin Label Labelz 


E Forms 
ae: ^ Form | 
m 5. Farmz 
|o £3 UserCantrals 
EE Code 
H-E] Formi 
H-E] Module? 
H-E] Module? 


Index = 


BackStyle = 0 'Transparent 
End 
Begin Label Label2 s 
Caption = "Name:" 
Index = U 


Height = 255 
TabIndex = 5 
BackStyle = 0 'Transparent 

End 

Begin Label Labell 
Caption = "Forml.frx":3lÀ 
Left = 360 
Top = 360 
Width = 385 
Height = 9237. 


tn 





Ahora ya podemos recopilar algo más de información acerca de nuestra aplicación: 
> Vemos que existen dos cuadros de texto. 


> Los botones ‘Check’ y ‘About’ con el nombre de sus respectivas devoluciones de 
llamadas. 


» Finalmente aparecen más cuadros de texto. 

Si nos fijamos en la parte izquierda bajo la pestaña ‘Code’ podemos ver el código 
correspondiente a los diferentes formularios. Si desplegamos la pestaña Forml1 podemos ver que 
existen cinco devoluciones de llamadas. | Uno para el botón ‘Check’ 


(Command2 Click 402FDO) y otros para los restantes botones y el movimiento del ratón.(El 
color del texto de la ventana principal cambia cuando se pasa el ratón). 


Lo que a nosotros nos interesa es el Command2, que es nuestra devolución de llamada: 
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+ 
L! 
Al. 
1 tin 
hl al 
4 


dl VB Decompiler Lite v9.0 
File Tools Plugins Help 





=la] x| 


FileName: [C:Documents and SettingsusuariolEscritorio|CrackmeWBl.exe a | Decompile | 





Objects Tree: 


ES Project 
ELCH Forms 


P E Forma 
E UserContrals 
EE Code 
GEI Form 
: = B Farm Mausehove 403140 
: vs p command! Click 402F4U0 
: = 2 Comimand2_Click_402FO0 





: = B Labell_MouseMove_403200 | 


(0 8 ShowboutBox, 402EBD 
e EI Module1 
e EI Module2 





Native Code 


Private Sub Commands Click() '402FD0 
loc _O0402FD0: 
loc O0402FD1: 
loc _O0402FD3: 
loc _O0402FD6: 
loc _O0402FDB: 
loc _O0402FEL: 
loc_O0402FE2: 
loc_O0402FE9: 
loc _O0402FEC: 
loc _O0402FED: 
loc O0402FEE: 
loc _OO402FEF: 
loc _O0402FFe: 
loc _O0402FF9: 
loc _O0402FFC: 
loc_O0402FFE: 
loc_O0403001: 
loc_ 00403004: 
loc 00403007: 
loc 00403005: 
loc 004035006: 
loc 00403001: 
loc_ 00403010: 
loc 00403012: 
loc 00403015: 


+*|=| 4 


push ebp 

hoy ebp, esp 

sub esp, DOOOOOOCE 
push OO401146h ; X vbaExceptHandler 
mov eax, fe:(00h] 
push eax 

mov fs: [00000000h)], esp 
sub esp, OOO000T4Sh 
push ebx 

push esi 

push edi 

mov var C, esp 

mow var 8, 00401110h 
mov esi, Me 

hoy eax, esi 

and eax, D0000001h 
mov var 4, eax 

and esi, FFFFFFFEh 
push esi 

mov Me, esi 

uor ecx, [esi] 

call [ecx+04h] 

XOr EAX, eax 

lea edx, var Zä 


mov ebx, 80020004h a 
k 


Decompiled OK 


Vemos que haciendo doble clic nos muestra en la parte derecha el código ensamblado... 


Lo importante de esta pantalla es la dirección de la devolución de llamada. Lo unico que 
necesitamos del VB Decompiler (en este caso en particular) es buscar la dirección de la 
devolución de llamada para el botón "Check", que como podemos observar es 402FDO. 
Localizando esta dirección en Olly podemos ver que nos muestra el principio de la función 
devolución de llamada. Si ponemos un Breakpoint, reiniciamos la aplicación e introducimos un 
nombre y un serial vemos que después de hacer clic en el botón *Check" nos detenemos en 


nuestro Breakpoint: 
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OllyDbg - CrackmeYB1.exe - [CPU - main thread, module C 
[c] File "View Debug Plugins Cptions 
Lex 44 A 





Running 


adg4sgisis C 


Dal) 
Be4013148 
6648110 
60481=31E 
40441320 
Dal 227 
Dal S24 
60401325 
adgdaia2r 
Dap) 22 
60401326 
48441320 
Dal 22E 
Dal 22E 
60401330 
60401331 
Be4h1S32 
60401333 
40401334 
46441335 
00401336 
adgdaizsr 
Dal ss 
60401339 
agaa1zsn 
46441336 
40441330 
88461330 
Dal 22E 
Dal 22E 
60401340 
60401341 
Dal 247 
40441343 
40441344 
60401345 
60401346 
60401356 
66461350 
adii 35E 
4044135F 
40441360 
6040136 1 
Dale 
60401363 
60401364 
Bodo) 365 


dd EN 


4 











ke Ze d "Ad d dx d eege 


Leimcrackme 


Whoever tries this out and never solves it means it's a 
big loser... this isn't a big deal, sa u must do that 
before doing anything else... if u don't manage to salve 
It... go and hide yourself for ever and ever! Amen. 


[manuel 
121212121] 


RH 


Mame: 


Serial: 


32 30 24 23 28 50 
43 36 36 36 2D aad 


& 
6 22 6H 35 28 oF 


ll 







Sha | 


BreakPoint-> 


Window Help Tools 
Ha 3 






Vi 











xl 


About | 





a 
"Bzad3aaProgettol",ü 
"-Lagg-'', E 


& 
I LL Ned i cre 


OllyDbg - CrackmeYB1.exe - [CPU - main thread, module CrackmeY] 





CHAR 
CHAR "T" 


rg" 


CHAR "1" 


7 





[c] File View Debug Plugins Options 
[| dd] A 







a64B2F01 
Be4H2F03 
BE462F06 
Be402F DE 
aada2FE1 
Ba482FE2 
agda2rES 
agada2rEC 
agada2rED 
BE4H2FEE 
aga4a2rFEF 
aaada2rFz 
BE4H2FF9 
BE482FFC 
Be4H2FFE 
40443681 
agada3maa4 
GEESS 
DAD 
agda3aag 
adgaa3aan 
agada3d1d 
agada3]1z2 
agaa3g15 
adda3aiH 
BE48S81F 
alag inin pa 
GEESS 
DAD 
alag inpia 2 
Be48S82C 
BE48S82F 
DAD 
DAD 
DAD 
BE4HS83E 
BE48S83F 
GEESS 
DAD 
agda3a4B 
BE4HS84E 
DAD) 
GEESS 
agada3dgb4 
DAD 
Be48S850 
BE485863 


HE 





B5 
SBEC 
S3EL 


A 





ac 


63 A6114000 


GE Banana 
6$: 2925 DP 


BSEC T4 


F4 


FS 10114600 


Ba 
B1 
FC 
FE 
Ba 


Ha 


2 Dc 
BB DAD. 
BF üBnaaaaan 


9945 
ER 

2945 
2945 
2950 


Dc 


e970 OC 


44184888 
Sa 
CC 
D4 
cc 
44104006 
ad 
EL 
CA 


BC 

4415456865 
68114066 
DA1 4446 


rl 






Window Help Tools  EreakPoint-=> 


s ON educ 


PUSH EBP 
MOL EBP,ESP 
SUB ESP, D 


PUSH 

MOL EAS, OWORO PTR FS: Ce] 
PUSH EA 

HO OWORO PTR FS:C6], ESF 
SUB ESP, 74 

PUSH EBS 

PUSH ESI 

PUSH EDI 

MOL, 

MOL, 

MOL ESI, 

MOL EAX, EST 

ARO EA, 1 

MOL) 

AND ESI,FFFFFFFE 
PUSH_ESI 


HOL „ESI 
HOU ECH,OWORD PTA DS: EESII 
CALL OWORO PTR Dës CECK+4) 
BOR EHS, EAR 
LEA EDs, 
HOU EBs, 260-0044 
HOL EDI, HA 

HOU GORD PTRESSHCEBPS249 , Ax 
PUSH EDS 
HOL 


ps =: 





PESE 


v EAH 













5935] 





EEX 
A a 

DWORD PTR OS: C<2MSUBUMGA,. #593 >] 
FSTP 
LEA ECH 
MOL EB» 


HOJ EBS, DWORD PTR DS: [ESI] 
PUSH EC 


ee ERES ee 
OWORO PTR DS:Lz&HsUBpumea. 159251 


FMUL DWORD PTR DS: (481166) 
MOL EDI, OWORO PTR DSs:EzeHMsUBUMeB.. vbakSIntI251 


coro 
















SE handler instal lation 


Crack mel! 


Crackmeu. 


Crackmel. 


Crackmelu. 
MSUBUMNEE, 
Crackmel, 
Crackmel. 


HSupumesa. 


Crackmeu. 


HSupgumea. 


HSupumea. 


HSupumen 


, 864682464 


Be4+62446A 


BE46246A 


BA462448A 
ra33HS3B8 
IS (ES ISS 
Be46246A 


rtcRandomHest 


4448244 


rteRandaomhest 


rtoRandaomhest 


. 'baRB8IntIz 


iHemos encontrado nuestro código de devolución de llamada del registro principal! 
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Pulsamos F8 hasta llegar a la dirección 4030AD. Vemos como cambia el color de fondo: 


' Leimcrackme 


manuel 


1212121212 





e 
. 1 ) Oh my God, u're Ehe worst lamer ive ever seen! U're even worse than Andreageddan! 


Aceptar | 


Echando un vistazo en esta área, vemos que justo antes del “bad boy” hay una 
combinación de comparar/saltar: 





OllyDbg - CrackmeYB1.exe - [CPU - main thread, module CrackmeY] y g eg 
[c| File View Debug Plugins Options Window Help Tools BreakPoint-> 


Running ee déi X^ KI BA ls oa 


DAD > GDEE EC LEA EDX, 

DAD . 8045 CC LEA ERE, 

DAD DC "NE S 

aga4asaca . 8040 DC 

DAD 2 . En 

agaasacm EI PUSH EC 

AB4ASACE . 56843 PUSH 3 

AR4ASADA . FFiS 26184808 CALL OWORO PTR DS:r«&nsugumneg.  vbaFreelarList* HMEUBUPMÉB. —uvbaF 
AB4aS606 . 83C4 18 ADO ESP, 14 

acgaasapas . ES 22070064 

ABdASAnE . 66: S5C8 MEI SKA EZSZEXEUTNEXHGMED € 
BciaaasaE 1 .v PE DÉI 

BanaasasEs . ES 08618086 | ij a 
DAD DEG Cr45 FC üamaaaana 

BcaaasaEF . 9B 

AR4ASAFA . ÉS 183144004 

BcaasarF5 . EB 18 

DDAD2EE e . 8055 BC 

ABdASAFA . 8045 CC 

acgaaasarn . 52 

anaaasaFE . SBD4D DC 

Bgnaa2181 . En 

a431 A2 

a431 A3 : AS PUSH 3 

Baga4aa1a85 : 20184004 CALL OWORO PTR DS: C<2MSUBU*MEO. ` vbaFreeWarList> HMEUBUMÉB. —vbaF 
ao4as1aB : d 18 ADO ESF, 16 

a403i AE : 

464431 AF RET used as a j 
agn4maiian HOU EA, OWORO PTRA SS:rEBF-*-81 
abdas113 . En PUSH ERX 

Bagnaaa114 : MOL EDX, OWORO PTR Dës [EAx] 
464aA3116 : CALL OWORO PTR OS: CEOx+8] 
aAñ4aA2113 - I R HU FAX. 


mn PTR &S:TFRP-41 
4 A 


Ponemos un Breakpoint en la dirección 4030E1, reiniciamos la aplicación y miramos si 
esta es la comprobación que estamos buscando. Cuando Olly se detiene forzamos el salto 
cambiando el valor de la bandera Z: 
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OllyDbg - CrackmeYB1.exe - [CPU - maii 
[e] File View Debug Plugins Options 
ex 44| X 


oe I" E ` 
ru E 


Window Help Tools BreakPoint-> 





CEECEE 
BB4B3BES 
BBAESBEF 
GO/402EER 
BO4G20F5 
BBa4BaBF 7 
GOAR 
Go/402EED 
GO/402EEE 
Ba4naini 
SITE 
Badmailm3 
SEERE 


DAT) Zb 
DAT) 21 
ba46312F 
60483134 
HaA4A=1=25 


AS 
A 


18 


2 DG 


2 Ba 


SE 


1 
Em 


GE 
EL 


2 8408 
5 TBEBFFFF 


KI €" Ad lz al 
B 


PUSH = 
CALL OWORO PTR DS:rz&nsuBunMem. vbaFreeWarL 
ADD ESF, 14 


EAH 
MOL EDX.DWORD PTR DS: CEAS] 
CALL OWORD FTR DSs:LEDX-281 
EAH, 
ECH, 
EDI 


ESI 

OWORO PTR FS:C[61, ECS 
EEs 

ESP, EBF 

EEF 





DD 

44813454 

4681 3F=>AC 

664455634 Crackmell, 66465534 
46813F304 

6613-4635 

Hii SABDA 

T3420AAS MSVBUHEE.  vbaRSInt 


BE4HS6E1 Crackmell, BE4638E1 


22bit BtFFFFFFFF1 
22bit BIFFFFFFFF) 
22bit BIFFFFFFFF) 
32bit BtFFFFFFFF1 
32bit rFFDFaaantFFF1 
HULL 


LastErr ERROR, SUCCESS (ABR 
DZ, (HO, HP, NME, A, HS, FPE, G 


empty 2.85823824r564955118828e 
empty -UHORM ESBE Bananas E 
empty 1.Hl1219423448S57335s58e 
empty HOH FEEF S8408F08 385 
empty -UNORM SOES BaaaagsB 
empty +UNORM H62E BB1S3FOFA 
empty -UHORM FOES aaadam2d2 
empty 173.H8HBa]9B8gdgggadgadma 
32186 ES 
BEGG Cond 8 B Ba Err 8B B 
137F Prec HEBR,64 Mask 





Desafortunadamente, la aplicación no nos muestra nada nuevo. Entramos pues en la 
instrucción CALL en la dirección 4030E3. 


OllyDbg - CrackmeYB1.exe - [CPU - mai 





thread, mod 


[e] File View Debug Plugins Options Window Help Tools BreakPoint-> 


BE4ESEBC 
DEADZ2DL 2 
DEIADZ2DCE 
DEIADZ2DC 
DEADZ2DC 2 
DEADZ2DCL 
Eidem 
DEADZ2DCE 
Ead ers 
[iaa aaa 
aag4a3apms 
Eid ersaE 
DRADZ2ET 
T EIS ETSI 
DEADZ2DEC 
DDAD2DEE 
DEIADZ2DEG 
DEADZ2DEE 
DEADZ2DE 7 
DEADZ2DEH 
Eier D 
BE4+636FE 
66405141 
6443102 
46443143 
468443145 
46443146 
Be4631HE 
Be4+6318F 
464431165 
B64483113 
DEADZI i4 
AA4AZ 1 146 
4 


ex 44] X 


FF15 


241040006 


S055 BC 


2045 
52 
2040 
5B 
51 


GH H3 
FF15 


2904 


CE 
Dc 


28104004 
1H 


ES 2208744600 
66:35C8 


rb BS 
ES D8Bimaan 


Cr45 FC mamamaaaad 


9B 
63 10314000 
EB 13 


S055 
2045 


Dé 
2040 
5B 
51 
6A 


a3 
FF15 


EL 
CE 


Dc 


28104006 


3304 16 


C3 
ES 
SB45 
SH 
5614 
FFS? 


b- | Il 


vi 


+ 


DWORD PTR OS: CA&hSUBUNEE,  vbaHresultCheck| MNSVBUNEE,._ vhsHresultCheckO y 


LEA EDs, 
LEA EAS, 


PUSH EC» 

PUSH 3 

CALL OWORO PIR DS:re&HMsuBgumés. —vbaFreelarList 
ADD ESP, 18 


CALL 
TEST DN, Ax 


PUSH ECs 

PUSH 3 

CALL OWORO PTR DS:re&HMSsuUBlmes.  vbaFreelarList 
ADO ESP, if 


EAK 
MOL EDA, OWORO PTR OS: CEA] 
AM DIORD PTR os: TENX+287 


HSugumeag. ` uvbaFreselarLiszt 


HSUBglHeB. —vbaFreelarLiszt 


RET Used as a jump to DR 





ERES 


Ponemos un Breakpoint y pulsamos F7, lo que nos lleva a la dirección 4032C0, donde 
podemos ver la rutina principal de descifrado. 
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OllyDbg - Crackme¥B1.exe - [CPU - main thread, module CrackmeV] | = |a | 
[c | File View Debug Plugins Options Window Help Tools BreakPoint-> -İl 
edd sl KU SE) $E a 
ES UDO) pp 

HOL 


BanadasaEsS > C745 FC Bamanaana 
BE48SGEF DÉI WAIT 


ARAB SEF ER , 68 1484314800 PLUSH 
am4aiars ^ EB 18 np 
Bam4nmzar € , 2065 BC LEA EDA, 
BAAR SEFA » 8045 CC LEA EAH, 


Ix |x 


ai 












a f Registers (FFU) 
H EAM BüBaaaag 
aa 1Sr454 
EDM maisFanc 
EBM BE4B5B34 Cr: 
ESP BBi18F3D4 
EEF maisF4és 























BG4G28F0 | . 52 PUSH ED* 
ESI B61559C56 

ag4BaaFE | . 8040 DC LEA ECH, DWORD OPTA SS: rEBP-241 

an4esiai | . 58 PUSH EAX Spe EOR aie 

gedesia2 | . 51 PUSH ECH EIP BBABBBES Cr: 

Bedecies  . $4 83 PUSH 3 UH Es ue oo 

66482165 | . FF15 20104006 CALL DWORD PTR DS:Lc&HSUBUHMÉB.. vbaFreeUarList?| MSUBUNGA._vbaFreellarl ist 3 fe CERA ca 

BB4B318B | . 8304 18 ADO ESP, 16 pla esoo oot 

Pe eee ee c | OS Bm23 S2 

DWORD PTR SS: [EBP+8] 

oougai1z | . 58 PUSH EAX [o sen eT 

88483114  . SB18 MOU EDX, DWORD PTR DS: TE? UH Eft EHE 

ouni | . FFS2 68 CALL DWORD PTR OS: CEDR+EJ 

SE E DEI LI E rm 

BB4BS11F | : SF POP EDI BB13F474 e Men 

Ha4Bsl2z8 | . SE POP ESI EE ST? empty BB 

ouni) | . 64:89D BaGaBBGG HOU DWORD PTR FS:I81,ECX Suc cue mom 

Ba4Bslea | . 5B POP EBX üBl13F474 STA empta OO 

B04021239 | . 8BES MOU ESP,EBP STE empty BB 

85465150 | i. CB gapo RETH ` E EE 

andosiar | 5e ES 7BEØFFFF SH HP. bMSUBUMGD.. VbaFPEscept ion? age cr 
FST open Cond í 

moi M Ur JE M 

(^ 

ASCII a EDR D 

BEMPBEBBE|BE BE BE BEBE BE BE BA es 99 15 boleo BE BE BB .....o.. HESE Ge LEE m 

Dog Op 9C 15 00 68 op EB op on op BB EB ES 9A 15 BB|CES. .......- Pus. Ge Sege OA 

0n465020| aa Be 60 Ba 68 BB 00 00/09 GE OG BB GG op GG GG)... selec eee ee We ncc eo E 

BE405030| 65 90 15 66 GB Do 66 BB BB BE oo BB BO op op OA HÜS... e EC CL Cc EM ER 

BE4G584G/ES 99 15 64 GG BB BB oo op BE GG BB EB HB Ge OA PUE. serene arcc ccce. 

O646cacO| ga BB GF GG) G6 BB 00 apga GE 40 OG) 18 9C 15 GG]... B. PES. DIEN n 

BEB5B6B| 58 BO 3E 73 62 60 66 op on 06 60 06/34 24 4B GBa|ozrsB....... 45i. a E 

06465970| 69 BB op GH) OG BB BB oo op BE GG OG) GG op GB BA ..... eee sees darc Morc ce o 

p646caso| 80 GO op BEBE BB B&B BB GB BE BG BB EB op BE OG]... ene Wu dc ecc caes 

06465090 | aa GO 69 Ba 00 BB 00 00/69 GE BG 00/09 op BE OG]... eee eene GE EE 

BE4BGBRB| aa BB BE BA BE BB BB oo op op BA BB EID op op GG]... ewes eee OCH EE 

BEMBGHBB| 80 GO op GG) GG BB op o op op OG oo AG op op BD eee, = = 

opd ol aa op op mal pa AA oo Aal ma AA op malia ma ma na HIE AR | PBulspare 

4 rl | 4 | 








[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 
el dd Si kill wäit Bil ali ei 


55 PUSH EBP 
AB4AS201 . BBEC MOL ERP. ESP 

DAD . SSEC Bs SUB ESP,S 

DAD Ce . 8 A6114000 PUSH £.IMP. EMSUBUMGO.  vbaExceptHandler> SE handler installation 
AB4ASEZCE 64:01 amaannaa MOL EAS, DWORD PTR FS: [4] 

a64483201 . E5B PUSH EAX 

DAD . 4:8925 mamaaasaa MOL DWORD PTR FS:r81,ESP 

ag4as2npo . BIEC Eapiopoo SUB ESP, 158 

a6B4as20F 53 FUSH EBEX Crackmel,a4a5Es4 
AB4AS2EA . 56 PUSH ESI 

AB4ASZE1 . Er HSUBUMEB. vbaRSIntl2 
aBg4as2EZ . 8965 ES H REM Eet 

Aa4eS2E5 C745 FC 46114000 DU ¿ Crackmell, 66461146 

BB4a32EC . Hi 16564006 HOU EAS, DWORD PTR OS: [465016] 

BE4032F 1 . 33FF “OR EDI,.EDI HSUBUMEB. ^ vbaRSIntl2 
ag4as2F2 S CHE EAX, EDI HSUBUMeB. vbaRSIntl2 
aBg4as2FE5 HSUBUMEÉB.  vbaRBIntIZ 
AB4AS2FS à HSUBUMEB.  vbaRSIntl2 
BaB4B32FE : HSUBUMEB.  vbaRBIntI2 
GaBg4as2FE : HSUBUMEéB. vbaRSIntl2 
a6443301 HSUBUMEÉB.  vbaRBIntIZ 
EE i HSVBUMHEG.  vbaRBIntIZ 
DAD De E HSUBUMEB. vbaRSIntl2 
EE HSUBUMeB. vbaRSIntl2 
a64B83340 24 HSUBUMEÉB.  vbaRBIntIZ 
4A323310 : 74FFFFFF HEUBUMEB.  vbaRBIntIZ 
BB483316 . &4FFFFFF HSUBUMEB. vbaRSIntl2 
aBg4a331C : 5SAFFFFFF HSUBUMEéB.  vbaRBIntIZ 
DAD 44FFFFFF HSUBUMEB.  vbaRBIntIZ 
EE 24FFFFFF MSUBUME6.  vbaRSIntl2 
AB4AS32E : 24FFFFFF HSUBUMEB. vbaRSIntl2 
a64As334 : 14FFFFFF HSUBUMeB. vbaRSIntlz 
ag4as33n B4FFFFFF HSUBUMEB.  vbaRBIntIZ 
EE ERT : FAFEFFFF HEUBUMEB.  vbaRSIntl2 
BB4m3346 . E4FEFFFF HSUBUMEB. vbaRSIntl2 
EE Te : CAFEFFFF HSUBUMeB.  vbaRBIntIZ 
AB4AS35Z E4FEFFFF HSUBUMEE.  vbaRBIntIZ 
AB4AS353 AdFEFFFF HEUBUMEÉB.  vbaRBIntIZ 
DAD EE ? 5 15 

ag4assen . 68 16504006 

43365 . Gë 431F4006 PUSH 

aB4AS35n FFiS nais4aaoa CALL DWORD FTR DS: C<2HSUBUNGA. —vbalew2»1 ASUBLUNEA.  vwbanews 
DAD CD . Hi 165684006 HOU EAS, DWORD PTR OS: [465014] 

DAD E SEGS HOU EC, DWORO PTR OS: [CEAN] 

DAD e . 56 PUSH EAX 

AB4aAs373 FFS1 62036600 CALL DWORD PTR OS: TECH) 

DAD 22 CE . SBSS 16104668 MOL EST, DWORD PTR DS:rez&MSUBUMéB.  vbalarMoves] HMSUBUMEB.  vbauarhoue 
00403394 | . BB pomadane MOU EBX, 2 


4 





Como veremos a continuación, hay algunas llamadas a métodos muy estandarizados en 
Visual Basic que deberíamos memorizar. Desplazandonos un poco hacia abajo en el código 
podemos apreciar uno de ellos en la dirección 403644: 
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OllyDbg - Crackme¥61.exe - [CPU - main thread, module CrackmeY] 
[c] File View Debug Plugins Options 


l| 44] X 













aa4asoln 






















He4637140 
DDADZ2 iB 
Ha46371C 
DAD 
DDAD2eIE 
Aa46371F 
Bd 2H 
DAD e 3) 
DAD e 25 
DDADZ 26 
Bmmdasr2B 
Ha463731 
DAD d 32 
DAD ed 33 
DDADZ 2 
Bad? 4i 
46443741 
DDADZ dé 2 
6403745 
DAD dét: 
Be463751 
DD4D2eEe 
ARAS En 
DAD et: 
DAD EE 
DDADZ e 
DDADZ2 cb 
He46376C 
DDADZ2 GE 
DAD ed da 
DAD db 
DDADZ € rE 
DD4AD2 ep 
ARAS gs 
DAD et 
DAD SF 
adas e 98 
DD 23 
äga 
DAD 35 
GIS ERC 
mmm 9g 
Hadas 3B 
He4637A1 
BHe4637A4 
DAD ee 
DAD Dt 
99483708 


4 





ee 44| X 


s 


Ix dx 


Window Help Tools BreakPoint-> 


HE OR Alas 


PUSH EL a 







kill *" +: 














































361€ 

66463611 : PUSH EDX 

44443612 . DÉI PUSH EAR 

Q4403613 . FEIS Ed1B4dBa DWORD PTR DS:rs&HsuBglmeagd.. v«ballarForHegst?] ASUBLUM6A, -_vbalarFocHe-=t 

nagaz ap ES El sss 

Bpaam3e6lE A ES EDBBadam 

IS (Ee , ES EG 

SES , ES EZ 

Biaadmsez . ES DEG 

Baamd3632 . Es D9aBadan 

Baadm3e63r » ES Dapp 

Dd2e 21 , S040 CH LEA ECA, 

DHA 2E . 5055 DA LEA EDs, 

DAD 2 a PUSH ECX 

BA4hS645 ao ER PUSH ED 

» FEI BCiB4Bam CALL DWORD PTR DS: C<2MSUBUMEO. vbaVarTstEg?] HSUDUHGD, —vbalarTstEga 

DZ an » ÉG SECO TEST As, Dä 

BRS4HS64F . ES CCABRadA 

BA4hS654 . GE WAIT 

BA4HS655 » S FES64068 PLUSH 

DdD2eGbn ve EB BE 

DAD » ES DEn 

Biaadpmse6sl , 3B WAIT 

BA4hS662 . S FE3e64BaB 

IS IS ZC .« EB B1 

SEI EI ZC » 8045 AS 

DAD . 8040 AC 

DAD . DÉI 

DZ CH a teal 

BA4hS67 1 , ÉA H2 

Bpaadm3era »  FF15 BhilB4Ban CALL DWORD PTR DS: C<2MSUBUNEO.  vbaFreeStrList» PMSUBUM&B.  vbaFreestrList 

DAD CD . 83C4 BC ADO ESF, DC 

Biaadm3serc . BD4D H4 LEA EC, OWORO PTR SS: TEBP=5C] 

BE48S67F . FEIS ELC1B4BaB CALL DWORD PTR OS: C<2MSUBUMGA. —vbaFreeO0bi^31 MSUBUNES._ wharFree0bj 

BA4HS685 , 8095 14FFFFFF LEA EDs, 

Bpaam3eaB »  8D85 z4FFFFFF 

Biadg3691 : e 

DAD , 8080 34FFFFFF 

SES : B 

Biadm36233 » 8095 44FFFFFF 

BA46S69F 3 eal 

BRSES608 » 8085 BA4FFFFFF 

BRS4+HS6AE : e 

DAD . 8080 e4FFFFFF 

BEdAS65AD : H 

BEdAS6AE » 8095 T4FFFFFF 

aadasep4 | . E ` 

4 k 
^5 . . . . . 

_vbaVarTstEq es como StrCmp en código nativo; comprueba dos entidades para mirar si 

. . . . [E [44 99 
coinciden. Seleccionamos el CALL de la dirección 40364F y pulsamos "Intro". Vemos como 
Olly nos guía por el buen camino: 
OllyDbg - CrackmeYB1.exe - [CPU - main thread, module Crackme¥] GE) 
[c] File View Debug Plugins Options Window Help Tools EreakPoint-> - [8| 
















Me €" rl s THER 

HOP 

Op HOP 

ag HOF 

ag HOP 

ag HOF 

Op HOP 

55 PUSH EBF 

SBEC How EBPF,ESF 

BSEC As SUB ESF,& 

65 A6114608 PLISH SE handler installation 

64:81 DDDDDDDp HOL EA, DWORD PTR FSs:EBI 

5B PUSH EA 

64:5925 DDDDDDDD HOU DWORD PTR FS:EB81.ESP 

BIEC 84000008 SUB ESF, 24 

53 PUSH EBs Crack mel, FE4656R34 

56 PUSH ESI 

or PUSH EDI HSuBunmnegd. — VbaRSIntl2 

5965 F8 MOLI ¿ESP 

Cr45 FC 50114064 MOL] »Crackmell, 660401156 


E9 DACH MOL EC, S0b20064 
BS anaacaan MOL EAA, BA 

3940 ES MOL, 

S940 CS MOL, 

2940 DS MOL) 

2055 Ab LEA 

2040 Eb LEA 

Cr4S ER mana MOL) 

9945 BH MOL) 





2945 CA Mow 
5945 pa 

C745 AS nass4na8 UNICODE I won't congratulate with 
C745 na asaannaa 

FFiS CS184man HMSUBUM&B. ^ vbalarDup 

2045 Ep 

S040 ca 

ca 

S055 0A 

51 

52 

2045 Eb 

¿A 46 

5a PUSH ERE 

FFiS 48184888 CALL OWORO FTR OS: rz&HeupumHea, 159577 HSUBUHEB, rtohsaBox 

S040 Eb LEA EC, 

S055 CA LEA EDX, 

si PUSH EC 

2045 Dë LEA EA», OWORO PTR SS: CEBP-36] 

52 PLISH EDX 


JP, AF mc 
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OllyDbg - Crackme¥B1.exe - [CPU - main thread, module CrackmeY] 


Sabemos que tenemos que ejecutar el código hasta la dirección 403644. Si miramos más 
ariba en el código aparecen algunos saltos. Seleccionamos el salto JE de la dirección 40344F y 
vemos que saltamos al area que nos insteresa: 
















[c] File View Debug Plugins Options Window Help Tools ` BreakPoint-> -|| > 
Game] da] X| Kill wäit BE] UE] ol] a == 

66443441 SBS0 66164608 HO! EDT, OWORO PIR OS: [<EASUBU*NEO.  vbalarHul MSUBUMNGA, — vbalarhul E 

Bpeaasdar SB10 C4i 64684 HOW EBS, OWORO PTR OS: C<ERSUBUNGA.  vbalarHdg HSUDUHGG, ` vhallarAdd 





Bpaaaa44D 


S5CH 








TEST EAX, EAX 
JE 



















Baaaas44F BFS84 Coloana 
46442455 Al 18584888 MOL EA, DWORD PTR OS: [465616] 

B68442345A 2504 TEST EN, EAS 

a684423450 75 15 

Baags4sE 62 18584888 PUSH 

Baaaz4es 62 481F4066 PUSH 

aaaaz4es FF15 Baia4aan CALL DWORD PTR DS:rz&MsuBUMéB. vbanew2 >] HSUEUHGD.  vbaMewz 
Baaaz4eE Al 185848688 MOL EAH», DWORD FTR Ds: [465616] 

EISËI EE SBAS HOU ECX,DWORD PTR OS: [EAH] 

a64a247E5 5B PUSH EAS 

Baadaz4r6 FF21 asazaaan CALL DWORD PTR DS:rECE-2821 

a64az247C 2D55 B4 LEA EDX, 

aa40247F 5B PUSH EAS 

Bmndm2428 52 PUSH EDX 

EISËI ER FF15 401046800 CALL DWORD PTR DS:rz&MSUBUMéB.  vbaObjSet>] | HMSUBUMEÉB.  vbaübjijset 
Baaaas487 ES BimaBaaBa MOL ERE, 1 

a684423480 2040 EB 

Baags4sr 8985 BCFFFFFF 

46442495 2985 SCFFFFFF 

Baaaz4sp 2925 ECFEFFFF 

Baaaz4ni 2645 Ad 

Baaaz4n4 2925 &cFFFFFF 

a64a34AA 5085 S54FFFFFF 

a644234B0 5a E 
a64434B1 2095 EA4FEFFFF 

Baadaz4Bpr Ei 

Badas4ps 5085 T4FFFFFF 

Baadaz4BE 52 

aB4a24BF 5B F 

AB4024C8 C785 FCFEFFFF 646806800 

DOAD2ACH 29B5 FAFEFFFF 

GDOAD2ADD 29B5 BAFFFFFF 

AB40S406 5955 54FFFFFF 

a64a34D0 S965 EdFEFFFF 

Baaas4Ez C745 Ad aaaaaaaa H 

Baaaz4Eps Cres &4FFFFFF papanga 

Baaas4ra FEEDS Crackmel!, BB4B5B34 
Baaas4F5 Eë PUSH EAM 

Badaz4Fe FF15 Caia4aan CALL DWORD PTR DS:rz&nsuBEunég.  vbaldUar?1 HSUBUMEÉB,  vbaldUar 
Baadas4FC S030 &4FFFFFF ECH, DWORD PIR SS: CEBF-9C] 

Baadaassa ca PUSH EAM 

DAD ED S095 44FFFFFF LEA EDs, OWORO PIR SS: CEBF-EBCI 

Bags Si PUSH EC} 

DOAD2EDD 52 PUSH EDM 

FEEL: FF15 68104006 CALE DWORD PTR Dë: [<&MSUBUMGG. #632>1 HSUBUHMEDB, rt cH LdCh arlar "| 
4 k 





OllyDbg - Crackme¥B1.exe - [CPU - main thread, module CrackmeY] 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 


aga4assEH 





[m 4.4 X| bj o. 


oni d 


LEA EDs, 


^i 






5055 &4FFFFFF 
























Ir 


Baaassra 1 PUSH EC} 
aa4as5F 1 5045 94 LEA EA", DWORD PIR SS: CEBP-6C] 
Badas5F4 52 PUSH EDX 
aB4A35FS ca PUSH EAX 
aa40S5F6 6A a5 PUSH 5 
BadassFS FF15 28184888 CALL DWORD PTR DS: C<2MSUBUMEA.  vebaFreelarLi HSUBUMÉB,  vbaFreelarList 
BB4mS5FE 53C4 18 ADO ESP, is 
DAD ED S080 A4FEFFFF LEA ECH, 
DAD ED 2095 B4FEFFFF LEA EDH, 
AB403680 5045 Ea LEA EAH, 
AB403618 51 PUSH ECX 
a6463511 52 PUSH EDX 
EENEI Eë PUSH EA} 
Badd2612 FFiS E4184Ba88 DWORD PTR DS:rz&HsuEumga arForMes HSUBUMEÉBG.  vebalarForMezt 
a6403519 ES 2FFEFFFF 
a640351E ES Eine 
EIST ET ES ESBaaaaa 
EIST ET ES ESBaa8a8aa 
a6443520 ES DEooooeo 
EIST ET ES 09000888 
KK EE ES D4aaaaaa 
DAD EC 5040 Ca LEA ECH, 
aB4A353F 5055 Da LEA EDH, 
DAD 51 PUSH ECX 
DAD 52 PUSH EDX 
FF15 £0104866 CALLE DWORD PTR DS:rz&MsuBuneg.  vbalarTstEq3 HSUBUMÉB.  vballarTstEq 
idadd2e4n 66: SECH TEST Ax, DN 
EIST ET ES CCcaaaaaa 
DAD EE SE WAIT 
a64A3555 62 FES64888 PUSH 
a64A355A EE &E 
Badasesc ES BFaaaaaa 
a68403561 SE WAIT 
EIST ET 62 FES64a888 


HARZ 
HARZ 
HARZ. 











PUSH 
EB 61 JMF 
2045 AS LEA EAH, 
SE AC LEA ECH, 


Ba4e566F PUSH EAS 

Baamgaera 51 PUSH ECA 

Düdn2e Cl GH az PUSH 2 

DAG 72 FF15 Balüädpoa CALL OWORO FTR DS:Erz&nsUuBgumHeag.  vbaFreeStrLi HSUBUMEO.  vbaFreeStrList 

DAG 3 304 uc HDD ESP, GC 

pieaasert S040 Ad LEA ECx, 

Ba4hS67F FEIER EC CALL DWORD FTR OS: [<4AHSUEUH6EG. — vbaFree0bj>] HSsuBauUnéag.  vbaFreseüb;j 

DAG 50595 14FFFFFF LEA EDS, 

00493608 e085 24FFFFFF LEA ERK, 
4 k 


Pongamos pues un Breakpoint en la dirección 40344F, pulsamos F9 y cambiamos el 
valor de la bandera Z para forzar el salto: 
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OllyDbg - CrackmeVB1.exe - [CPU - main thread, module CrackmeY] X 
[c] Fie View Debug Plugins Options Window Help Tools BreakPoint-> E [2| x 
E« x: KI SE +E] enl adi a Sak 
an4BS3ES | . 8055 94 LEA EDX, 
Ba4BSSES | | 56 PUSH E SS 
Bm4B33ER | . BE Bzeeeaan HOU ESI.? GOODS 
BB4BSSEF | . El PUSH ECX GGG 
a E Sep iue "S4BBEPD HELLER, vbaarAdd 
BB4B33F1 | . FA4FEFFFF oe ress 
Ba4B33F? | . DAFFFFFF Gë SES 
SESCH SE deeg SE 
am4BS4H9 | . 38164006 __ubsLenVar>] | MSUBUMGA. _ ucc es Ear 
aedesdar | . 00402344F mel, 00460344F 
8a483418 | . DAFFFFFF 
Zbit BLFFFFFFFF) 
Geesse E. SS B 32bit o FFFFFFFF) 
Ge AC SC 32bit BiFFFFFFFF) 
; DS 0623 32bit BLFFFFFFFF) 
GEES PUSH EAX Re BBB MULL 
Bm4B3422 | . E4FEFFFF LEA EDX, 
ante E E ata LastErr ERROR SUCCESS (&GaBeaa 
Ba4üB4zF | . B4FEFFFF BaüBaB242 (NO,NB,E,BE, S, PO, GE, LE 
BB4B3435 | . y 
ecc E ES empty -UMORM bart 01050104 geane 
T NE IE 
BBÁB343B |. 48184888 CALL DWORD PTR DS: [<SMSUBUMEA. —vbaUarForIni MSUBUNGO. E ate 
on403441 | . 20104000 MOU EDI, DWORD PTR DS: C<8MSUBUNES. uballacin ll MSUBUMSG. — toa 
Ba4B34d? | . 04104400 HOU EBS; DWORD PTR DS: [<eMSUBUMSO.  vbadarBdd MSUBUMSG. — SE 
BESA oaan MEM SR raat empty 179, GGGGRGRRRR90R80R 
GOEN Al 10564066 MOY EAX, DWORD PTR DS: (4850101 MN ue n Ed 


DAAG 
66483455 
Ab4a345E 
60403463 
DAAG 
DDAE24GE 
nin ine TS 
EISES at 
DA are 
DDAE24 dt 
DAD E 
0403450 
Be46S451 
DAD 
66d4daS48C 
Ab0d4a345F 
00483495 


4 S AN 


Da — =e ` ds le sn vi 


SSC TEST EAs, EAs 
r5 15 
68 165684868 PUSH 


68 451F 4608 PUSH 

FF1E Bains CALL DWORD PTR DS:Lrz&HMSUBUMeB. —vbalewz?1 
Al 1584888 MOL EAS, DWORD PTR DS: [4685616] 

SBaS MOL EC, OWORO PTR OS: CEA 

5H PUSH EAH 

FF91 S88S8088 CALL DWORD PIR OS: CECX+2368] 

S055 Aq LEA EDs, 

5H PUSH EAH 

52 PUSH EDs 

FF15 4Ciminua CALL DWORD PTR DS:rz&hMsuBuMeB. vbaObjSet >] 
BS aimamnaan wel 

2040 EB 

2985 BHCFFFFFF 


13rF Prec NEAR, Gd Mask ed 


X 


MSUBUNEE, 


MSUBUNEE, 


" 8 B BH BH B BH H BH NH ^H H NH HH 





Tomamos el salto para situarnos en la dirección 40361 E. 














OllyDbg - Crackme¥61.exe - [CPU - main thread, module CrackmeY] 
[c] File View Debug Plugins Options BreakPoint- > im 


lm dd x) kill wë 


ES EDaBmaad 
DAD , ES EG 
Badao3se2a , ES Käpp 
Baada3e2n . ES DEBaBsaa 
DAD , ES Dapp 


Window Help Tools 
+ adi a BHH 


ai 














DAD 


SEI ECKER , ES D4+688888 
BA48S63C » S040 CH 
dadas SF . 8BSD55 08 
Hd SE 


52 
FF15 60164004 


















CAME DWORD PTR DS: C<2HSUBU*MEO.  vebaUarTstEq3 MSUBUMEA.  vballarTstEg 
BaAdB354A . 66:85Ce TEST ON. Ax 
Baadase4F . ES CCcassaaoa 
EISES E . SE WAIT 
Baadase655 . 68 FES6é4888 PUSH 
BA4BSESA .« EB EE 
Baaase5c > ES BFBaSBBaOnB 
EISEM . SE WAIT 
DAD . 68 FEz64600 FLUSH 
DAD EB 61 JHP 
Badase662 . D45 AS LEA EAS, 
DAD . #8040 AC LEA ECX, 
BaaasesF . 56 PUSH EAX 
DAD CD . Sl PUSH ECH 
Baadas671 . EA AŽ PUSH 2 
EISE . EEIE Ppëip4DDp CAME DWORD PTR DS:rz&HsuBUMéB.  vebsFreesStrLi MSUBUMEA.  vbaFreestrL ist 
DAD 0 . 8304 DC ADD ESP, ac 
DAD CC . #8040 B4 LEA EC, DWORD PTR SS: [EBP-50] [| 
DAD E . FF15 ECiB4aa8 CALL DWORD PTR DS:rz&HMSuUBUMeB.  vebsFreeObi»1 FHSUEUM&éB. —vbaFresO0bj 
CENEL . 8095 14FFFFFF LEA EDH, 
aadasesE . 8085 24FFFFFF LEA EA, 
Baana691 é 2 FUSH EDX 
DAD 5080 34FFFFFF LEA ECX,.OWORD PTR SS: [EBP-CC] 
DAD a PUSH EAX 
CEECEE . 8095 44FFFFFF LEA EDx. DWORD PTR SS: CEEBP-BC] 
BaadasesF . Bi PUSH ECX 
Baaasena . 8085 54FFFFFF LEA EAS, DWORD FTR SS: [EBP-AC] 
Baaa36ne . 52 PUSH EDX 
Baaase6n? . #8080 é4FFFFFF LEA ECX.DIORD PTR SS:rEBP-9C] 
Baaasenp . E5B PUSH EAX 
Aa4eS60E . 8095 F4FFFFFF LEA ED, DWORD PTR SS: CEEBP-8c] 
Baadase6b4 . 5i FUSH ECX 
Baaa356B5 . D45 84 LEA EAS, DWORD PTR SS: [EBP-7C0] 
Baaasepe . 52 PUSH EDX 
Baadasepo . 5040 94 LEA EC, DWORD FTR SS:rEBP-6C]l 
aaadaseBc : PUSH EAX 


5h 
gouen | E. PUSH ECX a 
d k 


Pulsamos F$ hasta llegar a la instrucción JE en la dirección 40364D y cambiamos el 
valor de la bandera Z. Esta vez para no saltar: 
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OllyDbg - CrackmeYB1.exe - [CPU - main thread, module CrackmeY] 
[c] File View Debug Plugins Options BreakPoint- > 


Em 44 x) Kill > 


k EDaaaanma 
. ESBnmaadma 
ES E3aBBaBnan 
ES DEn 
ES Dou 
ES Dapp 


-i&| xl 
-ig] xl 






Window Help Tools 


s A ed pde 










=+: EHI 





Dpdo72elE 
amdg3e23 
Biadm3628 
angagi 
De 
DAD 2 


Registers [FRU 

EA! DDDDDDDD 

ECs Bad 

EL muda? 

EBS 134ARAB2D HeSUBlUMéB.  vballarHd 
ESF Gol2E 2 































TERENE S040 CO LEA ECH, 

EE 2055 Dë LEA EDX, SEE eae Ge 

THRE el E EE EDI ?24A3ECC MMe.  vbauarthu 

00483644 FF15 scieaaed CALL DWORD PTR OS:(<&HSUBUNEO.  vbaMarTetEq3 MSUBUNSO, vba | EIP Sack net). 00403640 

Kees Co 32bit BLFFFFFFFE) 

ppsasesa | ` lee "PD n ü 32bit al FFFFFFFF) 

pco || 4 E wm. tU "B DS Bü23 S2bit BLFFFFFFFF) 

BB4BseEn | [el EB EE JP SHORT, Cracknel,264036c8 5 8 FS 0038 32bit vFFDFBBBLFFF) 

Duer | > SES EFesaasa Vg) Ga ees 

xc || {ce ER URT Do LastErr ERROR_SUCCESS (0898 

BB4B3667 | .« EB 6l EFL oopoacpe (NO,NB,NE,A,NS,PE,G 

BB4B2669 | . 8045 AS d 

DAD 2D4D AC eue ES EUST ES7C Biesasi84 A 

BO4B366F | . 58 dS 

aa4esera | . EI STS empty B.B 

BB4B36z1 | . 6A 02 PUSH 2 ely Se pen 

GEES FF15 Eo1oupee CALE DWORD PTR Dës [<&MSUBUMEG. vbaFreeStrli MSUBUNSO. ups | ere SEIN Zi 

docu EECH STE empty 96, DOG OO DOE 

aa4gserr Pris Eau EE EECHER 
3 3 
3 E FST 0008 Cond B B B B Err 8 à 

EE 8085 24FFFFFF 

BB4B3Edl Eo FCU 137F Prec NEAR,64 Mask 

00483552 2080 34FFFFFF 

00403598 B 

00403699 S095 44FFFFFF 

BB4B36 OF 51 

EE S086 E4FFFFFF 

0048366 52 

EE 2080 &4FFFFFF 

Be48S6A0 E 

BB4B35HE S095 T4FFFFFF 

00403684 51 

BB4B356B5 BD45 84 

TERENE 52 

BB4B36E3 | . 804D 94 

Bü4B36pC | . Sg 

BEER MN m iP E T 

4 + 





Pulsamos F8 una vez más para llegar al CALL de la dirección 40364F. 


andre CH 


à) 


x| 


You did it, I won't congratulate with you, iE was just your duty! It's a shame it 


Aceptar | 


ok vou so long Ea solve it! 





Como se comentó anteriormente, existen algunos métodos que son llamados con cierta 
frecuencia a la hora de buscar esquemas de protección: 


_vbaVarTstEq 
_vbaVarTstNe 
_vbaVarCmpEq 
_vbaStrCmp 
_vbaStrCom 
_vbaStrCompVar 
Nueve de cada diez veces, una de estas rutinas se utilizará para comparar un serial. 


Vamos a cargar CrackmeVB2.exe en Olly para realizar una busqueda de los “Intermodular 
calls": 
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Address 


BE481254 
66468410 
66404333 
Ba4g44r72 
SE GE E 
66401239 
06404203 
BE48465F 
BE48SF 37 
Be46417E 
2684844850 
Bad4a4232 
DE ZE 
BE4841F 5 
46468440 
66468416. 
DAD. 
Be464e257 
4646439. 
Dana 
Badges 1c 
66404192 
p64a424A 
BE464568 
BE46455F 
8E4644HA 
BE4844CF 
BE4645EA 
BE48468F 
BE48SF ap 
Baar a2 
BGa4as3r CE 
Bpaagad1:-2 
464684460 
664684401 
GIE GEAR 
SE ISEISCK 
BE48SF SE 
BE4ESEER 
p6dada24 
664641 Di 
2684841 AE 
Baar IC 
SE ISS 
66484113 
2640404 
BE4648F d 


ra A x7 
EN 


l| 44] X 


Disassembly 


Erackmel, bA462934 


OWORO PTR DS: E&&HSsUglmea. 
OWORO PTR DS: CA&hMSUBUNEE, 
DWORD PTR OS: Es&HaSUpglunmeag, 
OWORO PTR DS: E«&&HSUBUmeag. 


IP, &ASUBUNEE, 11610 > 
OWORO PTR 


DWORD 
DWORD 
EDI 

DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
EB 

DWORD 
DWORD 
EDI 

DWORD 
DWORD 
DWORD 
DWORD 
DWORD 


Mamm 


DS: L<2MSUBUMCO. 
C i&HSUBlmsa. 
< EMSUBYHEH . 


TeASUBUNEE, 
{EMSUBUNEE, 
{&hNSUBUNEE, 
S&HSUBuUmeB. 
&&HSUBlmea . 
¿EMSUBLUMEA. 
S&HSUBUmeB. 
&&SUpglmea. 
{EMSUBUNEE, 
S&HSUBuUmsg. 
¿EMSUBLUMEA. 
{EMSUBUNEE, 
<ShNSUBUNEE, 
TENSUBUNEE, 
{EMSUBUNEE, 
<ShNSUBUMEE, 
S&HSUBglmeag. 
SOC ENDE 
Al 
& 
A 
& 
& 
z 
& 
A 
g 
A 
g 
e 
z 
4 
& 
g 


os: 
os: 


[ 
[ 
[ 
[ 
[ 
[ 
[ 
[ 
[ 
[ 
[ 
[ 
[ 
[ 
[ 
[ 
[ 
BE 
rE 
Si 
[ 
[ 
[ 
[ 
[ 
[ 
[ 
[ 
[ 
[ 
[ 
[ 
[ 
[ 
[ 
A 


Yr A IL IRMA CO 


| id int 
[R] File view Debug em ae 
KI bat 


SASUBWNEE . 
SMSUBWNEE . 
&HSUBumsa. 
&HSUBUmsa. 
2MSUBLMGA. 
&HSUBUmsa. 
&HSUBUmsa. 
&HSuBpurmsa. 
&HSupumsa. 
&HSUBumsa. 


SASUBUNEE . 
&HSUBUumsa. 


&HSsupumsa. 
&HSUBumsa. 
&HSupumsa. 
&HSupummsa. 
&HSUBUmsa. 







Ee S| dee 





[Initial 


#59 NSUBUNEE, 
#59 NSUBUMNEE, 
#59 MSUBUMNEO, 
#59 NSUBUNEE, 

MSUBUNEE, 


HSUplmea 
HSUBlmeaB . 
MSUBUNEE, 
ASUBUNSA. 
HSUBlmea . 
MASUBLIMEA. 
MSUBUNEE, 
MSUBUMCA. 
MSUBLIMEA. 
HSUBUNEE. 
MSUBUMCA. 
MSUBLIMEA. 
MSUBLMEA. 
HSUupgl meas, 
HSUpgllmea . 
MSUBLIMEA. 
NSVBUNEE , 
NSUBUNEE, 
MSUBUNEE, 
HSUpllmea, 
HSUBLmeaB . 
MSUBUNEE, 
HSUplmea, 
HSUBLmeaB . 
MSUBUNEE, 
MSUBUNEE, 
MSUBLMEA. 
MSUBLIMEA. 
HSUBUNEE,. 
MSUBUMCA. 
NSUBUNEE, 
MSUBUNEE, 
MSUBUMCA. 
MSUBLIMEA. 
ASUBLNSA. 
SUBUMEE 






NHSVBUNEE „ 
NSWBUNEE, 
HSUBUNEE,. 


Fc I gk) OO 


Command -| 


Analysing Crackmev: 1 heuristical procedure 





Destinat ian 


Window Help Tools BreakPoint-> 


ai 


CPU select ion) 
rtchsgBou 

rtchsgBox 

rtchsgBox 

rtchsgBox 

ThunRTMain 

ubaEnd 

ubaEn d 

ubaFrseetüb.i 
ubaFresetüb.j 
ubaFreeübjLizt 
ubaFreseübjLi-szt 
ubaFreeStr 
ubaFreesStr 
ubaFreeStrList 
ubaFreeStrLizt 
ubaFreeStrList 
ubaFreselar 
ubaFreslar 
ubaFreeluar 
ubaFreselar 
ubaFreselarLizt 
ubaPreellarl ist 
ubaFreelarLi-zt 
ubaFreselarLizt 
WoaFreeWarLl ist 
WoaFreeWarLl iat 
WoarFreeWarLl ist 
uba-Preellarl ist 
ubaHresultÜbChecküb.j 
ubaHresultÜChecküb.j 
vubaHresultChecküb. 
ubaHresultÜChecküb.j 
ubaHresultÜChecküb.j 
ubaHresultChecküb.j 
ubaHresultbchecküb.j 
ubaleuz 

ubaleuz 

ubaüb.js5et 

ubaRSStr 

ubaRSStr 


MERE 
ubasStrRSs 
s ballarDup 


e 


- 


Podemos apreciar un CALL a _vbaStrCmp. Lo que hace es coger dos cadenas como 


argumentos y devuelve un integro. El valor de retorno puede ser -1,0 y 1, dependiendo si el 
primer argumento es mayor, menor o igual que el segundo. En VB este CALL se vería de la 
siguiente forma: 


"Declaration 
Public Shared Function Compare ( 
&trA As String, 

stro As String ` 
) As Integer 


‘Usage 
Dim strA As String 
Dim «trm As String 
Dim returnValue As Integer 


returnValue = String.Compare(strA, strB) 





Haciendo doble clic sobre el CALL en Olly, saltaremos al lugar donde se realiza la llamada. 
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[c] File View Debug Plugins Options 
dq) X| Kill e 


BHB4BSEES S985 4BFFFFFF 
BB4BSEEF | . FF91 naamaamg 
BBdBa3EFE | . SBC? 

BBdB3EF? | . OBEZ 

GG4GSEF9 | .~ 7D 18 
BHB4B3EFB opt 4BFFFFFF 
AB4B3F 01 68 Raaaaaaa 
aBaaar ae 68 FE374000 
aB4aaFaE 51 

aBaaarac 
BB4B3FAD 
SIE E 
BB4BSF16 


58 
. FFIS 231040406 
> 8BS5 DG 
. El 


2040 
FrDF 
1BFF 
47 
FrDF 
FF15 BBlB4an8 
S040 Da 
FF15 B4184ana 

. ÉÉBIB5FF 

e HE Odd SBüanamas 
Al 245848808 

. ESCA 

2e O 16 
68 24504000 
68 HGZL App 

» FFi15 Glen 

A 8BS5 24564088 
6A FF 
5E 
ZEGE 
FF5356 BCmiBmaada 
SR 

. OBE2 

.« TD 12 


aadaA3F24 
DEZ 
AB4ESF 29 
DE 26 
AB4ESF2C 
AB4ESF2E 
AB4HSF 34 
AB4ESF Sr 
AB4ESF 30 
DOE 48 
DOE 46 
BE4ESF 4B 
BE4ESF 40 
BE4RSF4F 
DEA 
AB4ASFES 
DEE 
AB4ASFES 
aadaAsF6r 
AB4ESF ES 
BE4ESF EA 
aadasF CH 
DE r2 
BRS4ESF r4 
d 


D 


OllyDbg - CrackmeVB2.exe - [CPU - mi 


AG4G2Fic |. FEIS 4CiB4BBB l 





ai 


» EAM 
DWORD PTR DS:LECRTBHE 
CHF EAS, EOI 
FELE” 


MOL ECs, 


PUSH EAX 
CALL DWORD PTR OS: LCAHSUDUHGp 
HOU ED, DWORD PTR SS: CEBP-28] 
PUSH ED 


MEG EDI 
CALL OWORO PTR DS:resmsugumnea 
LEA ECX, 

CALL DWORD PTR DS: [<2.ASUBUMEA 
TEST DI,DI 


JE 
MOL EAS, OWORO PTR DS: [465424] 
TEST EAs, EAS 


PUSH 


PUSH 

CALL OWORO PTR DS: C<2MSUBUMNGA 

HOU ESI,DWORO PTR OS: [465624] 

PUSH -1 

PUSH ESI 

HOU EAS, DWORD PTR OS: CEST] 
OWORO PTR DS: CEAX+1BC] 

TEST EAX, EAH 

FCLEX 


Vamos a poner un Breakpoint en esta lína y pulsamos F9. 


e 


"p E 


Enter the password to access Password Safe v? 


| | Password | 


A 


Window Help Tools BreakPoint-> 


ntdll.rPCoeerss 


e VWboaHresultCheck) HSUBlUHeB.  vebaHresultChecküt 
ntdll.7C928738 
ntdll.KiFastSustemCallRet 

Bll BR = F i FF 


HSUBUHSG. —_vba5trEmp 


ntdll.7C92BH738 
ntdll.7C92H8738 
ntdll.7C92H?738 
ntdll.7C92B8738 
HSuBgupmeg.  vbaFreestr 


ASUBUMNSA, —vbaFreeübj 


. 5. MbaFreestr?l 
... MUbaFreetb.?1 


4:4 Jbalewz?1 ASUBUNGA.  vebahMewz 








Una vez introducido una contraseña, Olly se detendrá en nuestro Breakpoint. 
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BE4HSEES 
Be4HSEEF 
BE4H3EF5 
BE4H3EF? 
BE4HSEFS 
BmB4H3EFB 
aaads3rüai 


DAF as 
DOE AE 
Ba4eSF eC 
Be4eSF an 
BE4HSF 13 
BE4H3F 16 
Aaa 17 


DOE 22 
DOE 24 
DOE 27 
DOE 29 
DOE 2B 
BE4HSF 20 
BE4H3F 2E 
BE4HSF 34 
DRAD2E ar 
Do4Ap2E 3D 
DAF dp 
DOE 46 
BE4HSF4E 
Be4eSF 40 
DAF AF 
DOE A 
BE4HSF59 
DRAD2EE 
aa4s3r es 
DAF 
aadaAsF6S 
Ba4HSF 6A 
DOE ra 
BE4HSF r2 
DOE 
BE4HSF 76 
BaaB3FrB 
DAF S8 
aaadd3rai 
DEG 
AAAASE So 


4 





53985 4S8FFFFFF 
FF91 Raaaaaaa 
SEC? 
DEEZ 


7D 18 
SESD 4SFFFFFF 
68 ABOGADO 
65 FS374000 


5H 
. FF15 228184888 
A DPE DS 


52 
63 HCc3S4Bu08 
= 42104006 


2040 03 


F 
FF15 PLA 
D Da 
FF15 PLA 
. GEF 
e HE Gd SBanmadas 
. H1 24504660 
s5cH 


e 75 18 
68 24584808 
62 HGZL A0 
. FEI 8184888 
A 8BS5 24564088 
» DH FF 
SÉ 


SEA 
FF96 BCmlamaa 
SSC 


OBES 

rū 12 

62 BCBlIgada 
Ze 24324800 


5B 
: EE 28104006 
E 1ACAJAAA 





pr | 11 





Yi + $i: | e 


HOL 


CHP EAs, EDI 
FELE” 


MOU ECA, 













PUSH EAK 


HOU EDS, 
Bech ED* 





MOU EDI, EHa 


LEA EC, DWORD PTR Gë: [EBP-28] 


MEG EDI 
SEE EDI,EDI 
IHC EDI 





LEA EC, 









TEST DI,DI 







TEST EAs, EAS 
PUSH 
PUSH 


PUSH - 
PUSH ESI 









TEST EAs, EAS 
FCLE&R 


JGE 
PUSH 1BC 
PUSH 
PUSH ESI 
PUSH EAX 





CALL DWORD PTR DS:rz&HsuBUMeB. - 
DWORD PTR SS: LEBP-221 


H Crackuell, BBAD2GDC 
PALL DWORD PTR DS:Ez&MSUBUMEÉB, - 


MEG EDI 
CALL DWORD PTR Ds: C<2MSUBUNEA. 
CALL DWORD PTR DS:Lc&HMSUBUMEB. 


DWORD PTR OS: C<2MSUBLMGA,. `. 
MOL! EC ue PTR DS: (465624) 


CALL DWORD PTR OS: (<8hNsueUNéa, 
Hall Fo nine PTR n=: [AACA A1 


[c] File View Debug RE Options Window S Tools BreakPoint-> 
ey 44| X 








» EHa 
DWORD PTR OS: CECH+A8] 















JE 
MOL EAS, OWORO PTR OS: [4654824] 


HOU EAS, DWORD PTR OS:CESII 
CALL DWORD PTR OS: CEOX+1EC] 


WosHresu Lt Check 


. vbaHresu lt Check 


ntdlL.7C92858D 


HSUBunmem . 


. AbaHresultthaecktüb 


UNICODE "a^*2-'&1,3" 


ubastrcmp:?l HSUBlHeB. X vbastrbcmp 

. vbaFreseStr?] HSUBUNBE,  vbaFreestr 

. wvbaFrestüb.?1 ASUBUNGA. ` vbaFreeüb. 

vbahlewz >] HSUBlHeB. —vebaMewz || 
Crackmel!, B44a5A64 


ASUBUNGA. ` vbaHcre=su Le Check Ob e 
+ | 


Un poco más abajo,en la dirección 403F40, podemos apreciar la combinación 
comparar/saltar. Pulsamos F8 hasta llegar a ella, cambiamos el valor de la bandera Z y 


ejecutamos la aplicación: 


OllyDbg - Crackme¥B?2.exe - [CPU - main thread, module CrackmeY] 





[c] File View Debug Plugins Options 


Peed adu SLL 





BE4HSEE9 



















5985 4S8FFFFFF 


Window Help Tools BreakPoint-= 


[+] a 





ai 











MOL! » EA 
OWORO PTR OS: CECH+AG] 













































_ VbaHresu lt Check) MSUBUNEA,  vbaHr 


BB4B3EEF . FF91 Dëppen 
BB4m3EFE . SBC? CHF Epos. EOI 
BaB4B3EF? . DBEZ FCLEX 
Be4GSEF9 FO 18 
Ba4a3EFE . SBB8D 48FFFFFF MOL ECH, 
Biaaa3Fa1 . 68 Baa; 
BaaasFaé . 68 FE374066 
Aa4hSF AB . E 
Baaasrac . Eb EAH 
B64B3FAD . FF1S 38184888 CALL DWORD PTR DS:r«&nHsugunmea. 
BAdasF13 > BB55 DS MOL ED}, DWORD PTR SS:EEBP-281 
Be4G5F 16 . 52 PUSH EDX 
Bpa4a83F1r 68 acss4ana H Crackmel!, 66443380 
FF15 40164600 Ke DWORD PTR DS:Lz&MSUBUMEÉB.  vbasStrCmp >] 
Baar 22 SEFS MOL EDI, EAX 
aadasF24 2040 De LEA EC, 
BB4B3F 2T F?DF NEG EDI 
Baaasrz2 1BFF SBE EDI.EDI 
Ee 47 INC EDI 
Baaa3rFac F?DF MEG EDI 
BB4B3FZ2E FFiS Baigdeoa CALL DWORD PTR DS:r«&HMSsUBuméB. vbaFreeStr >] 
BadasrF24 5040 na LEA EC, 
DAD FF15 B418488 DuDED PIE OS: [22 MSUBUMSO.  vbaFres0bi^1l 
AB4B3F30 66: 55FF DI D 
KISEISEISEIS ..-BHFS4 SBaanaaa 
DAD Ed . | Al 24504066 PD PTR DESS Tä TI 
Be4GSF4E . | SEcu TEST EAW, ERN 
Ba64B3F40 ~| z5 lØ NS 
Ba4GSF4F les 24504000 PUSH 
B64B3FS4 . | 68 AS20C4066 PUSH 
DAD EE . |FF15 78184888 CALE OWORO PTR DS:L£&MSsUBUMÉB.  vbaNew2>] 
BaB4B3FSF > | 8635 24504606 MOL ESI, DWORD FTR OS: [4605024] 
BB4B3FES . | EA FF PUSH -1 
DAD EE 56 PUSH ESI 
Ba4asrFés e MOL! EAH, DWORD PTR DS:rESIJ 
Be46SF 6A FFo9B ECOJOBGA CALL OWORO PTR DS:LERE-1BCI 
Baana3r ep esca TEST EAH, EAX 
BB4B3FPZ DEEZ FCLEX 
Baaa3r 74 .-| "D 12 JEE SHORT Crackmell, B64asFS8 
rad gap GO OCT AA Dich tor 
4 
EEE ASCII 
aa4BS5666| op op op op Be 66 66 66 es 99 15 Be) 66 op GB BB|........hü peas 
Ba4m5aiB|5s 9B 15 66 66 BB op op Aa op op ÉS asa 15 Ge EE biz 
BE465028| op op op 66 ao op op op G6 op GE) 66 op ag BB|................ 
Gë/ADED2pl op ma op aa as op op op Ba 46 aa|ES op 15 88|..........6G8.Büz 
Be4e5o4e| 99 BA 3B 7262 BB 66 AA pA op amp nal BC 35 48 Bald: anann dE, 


E 


UNICODE "qrez+"s: 
MASUBLUMNEA.  vubatr 


ASUBUMEO. —_vbaFr 
MSUBUMSO. —vbaFr 


HSuUpumes. babe 


Crackmel!, DAG De, 


ZE 


zik 





=lē| x| 
=|| x| 
a f Registers FPU] 

HDDDDDDD 
GISEIUSbSE 
AHAHHH 

FSSC42E3 ASUBLUMGA. whe 
6613F358 
6413F465 
44159B55 
BERBER 

rack mel, nadar 


32bit &lFFFFFF 
32bit &lFFFFFF 
32bit &lFFFFFF 
DS ma23 32bit BrFFFFFF 
FS 03B 32bit vFFDEBBE 
ms baa HULL 


LastErr ERROR SUCCESS 
HDD, (NO, HE, HE, A, NE 


empty -UNORM DOC BlB5E 
empty Eb. 
empty 4,4 
empty H 
empty H 
emptu D.H 
empty 96. HHAHAHAHHHHHHE 
empty EE deu 


BBBB Cond B B B B Err 
137F Prec HEHR,&64 Has 


Gm | 


http://masteracsi.ual.es/ 


¡Este ha sido de lejos nuestro Crack más facil! 


Welcome to Password Safe vz. 


‘our stored passwords are below: 


HEH Application Challenge Password: 


frozenice 
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7.20 Caso practico 20: Trabajando con binarios de Visual 
Basic (II) 


Empezamos por cargar CrackmeVB3.exe en Olly. 




























OllyDbg - CrackmeYB3.exe - [CPU - main thread, module CrackmeY] || x 

[c] File View Debug Plugins Options Window Help Tools BreakPoint-=> |! x 
" " " " " Ww-| HEN 
ir 44 sl KI kat kal a a EE 

EMI 5 65 ES134906 PUSH à 
164611400 » ES FBFFFFFF 
mpada11B2 Bana HDD BYTE PTR : [EA], AL 
668441164 Bana HDD BYTE PTR DS: LEBR1,HL. 
GIS ANE Dog ADO BYTE PTR OS: [EA], AL 
664011E3 aman AUR BYTE PTR OS: LEBX1,RL 
piada11BBh ARB HDD BYTE PIR OS: CEA#I,AL 
Başal 1 EC dp IHC EAH 
Be481 160 . Ria ADO BYTE PTR OS: [EA], AL 
B41 1 BF A Ban ADO BYTE PTR OS: [EA], AL 
664411051 . HERE HDD BYTE FTR OS: CEA, AL 
6684411053 BASE HDD BYTE PIR OS: LERR1,DH 
66441105 EB 22 OUT 22, AL 1-0 command 
SSES DE 2 OR ES, Es 
66401103 oF LAHF 
DAT ICH ir POP 55 Modification of segment register 
664411C0E 42 IMC EDs ntdllL.RiFastSystemCal Ret 
66461150 BF C9891985 MOU EDI, ES1959C9 
664681101 ¿ESE Ge SUE EBS, DWORD PTR DS: CEBX+6r] 
668441104 BAAR HDD BYTE FTR OS: CEA, AL 
66441106 BEBE HDD BYTE PTR OS: CEA, AL 
668461103 Dog ADO BYTE PTR DS:LEB&1,HL 
664611048 Baias ADO OWORO PTR DS:LERS1,.ERS 
66441106 BAHG HDD BYTE PTR OS: CEA, AL 
66441 10E Bana HDD BYTE PTR DS: LEBHR1,HL. 
Ba4d811E8 Dog ADO BYTE PTR OS: CEA], AL 
Ba4o11E2 Dog ADO BYTE PTR OS: [ERA], AL 
piada11E4 Sä PUSH EAS 
664811E5 v r2 EE JB 
BE4611E7 GH 65 PUSH 65 
BE4611E9 631431 a ARPL WORD PTR OS: CECH+ESII, SI 
86461 1E0 Bam ADO BYTE PTR DS:LEBx1,RL 
Han 1EF BABE HDD BYTE PTR OS: CEA#I,AL 
BE4G11F1 BEBE ADD BYTE FIR OS: CEA+1, AL 
Ba4811F3 Dog ADO BYTE PTR OS: CEA, AL 
BE4611F5 Bam ADO BYTE PTR DS:LERHx1.RL 
B41 spe EFF HDD EH, BH 
BE4G11F9 CE IHT 
Be4411FA 3168 ADR DWORD PTR OS: CEA], EAs 
a64aliFC ar POF ES Modification of segment register 
pa3da11FD SA POP EDX kernel32.rC815D4F 
BE4011FE B1 PUSH EC 
aB4811FF Gand 4Bi94CBD C4 | AND DWORD-PTR-SSrLESP*EDICSD4CIS4B], FFFFFFC4 
Bedi 287 55 PUSH_EBP 
668441248 S168 84 3975ARB5 AHO DWORD PTR OS: CEAX-7CI,5AAr aso 
668441 24F BB 5FESA9D5 MOU EBX, DSBSESSF 
6401214 4a DEC EA 
Badalzi5 BB STOS BYTE PTR ES:[EDI] Z 
4 k 


Vemos la tipica llamada al tiempo de ejecución de Visual Basic. 


Como no sabemos mucho acerca de esta aplicación vamos a ejecutarla haciendo doble clic sobre 
el ejecutable: 


i. tt Kill This Nag Screen i: 





http://masteracsi.ual.es/ 


Al cabo de los cinco segundos aparece la pantalla principal del serial. Introducimos uno 
cualquiera y hacemos clic en “Check”. 


i. VB Crack-Me 1.0 by CodeZero [code@lomag.n t] 8 (ol xj X] 


| CH Invalid unlock code, please try again. 
=> 





En este ejercicio vamos a introducir otro decompilador. En lugar de utilizar VB 
Decompiler vamos a utilizar P32Dasm, un compilador nativo de P —code. 


Cargamos CrackmeVB3.exe en P32Dasm y aparece la ventana principal con los siguientes 
datos: 


1. Cadenas de texto: 





File Edit References Took About 


Ux Dd Ha dà Qo P TP lw bp EJ v eë Sea € 








|File: C:\Users\ Manuel Rey VilarMDesktopXCrackmeVB3.exe 
|P32Dasm v2.80 


IWB5 Application detected 


\foo4055F4: Sub Formi.Commandl Click 
| mov d, [ebp] [AX], "VB Crack-HMe 1.0 by Codezero” 
mov d, [ebp] [XxX], "Please enter the registation 
push "tS" 
mov d, [ebp] [XX]; "VB Crack-Me 1.0 by CodeZero” 
| mov d, [ebp] [X3]; "Congratulations! you've really made it :-)" 
l0040579F: mov d,[ebp][XXl, "Invalid unlock code, please try again." 


00405824: push mom 


oS Ft ft oe 


Idle | Errors: 0 Unknown: 0 Procs: 11/11 (0,31 sec) 


2. Botones: 
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File Edit References Tools About 
um iE ki] E dà ue D (BE 1,3 Imp Exp E? sy | Wë 


jOOsOS7SF: mov d, [ebp] [XX], "Invalid unlock please try again." 


[0040583D: Sub Forml.Command2 Click = 
J0040588A: push mcm 


(00405905: Sub Forml.Form Load <= 


100405957: push "222222222222222239922222992n" 
[00405971: push » 


[004058C2: tub Form2.Commandi Click | 
100405487: push "H222222222222222227702222222n 


jOOSOSACS: Sub Form? .Timerl Timer 








Idle Errors: 0 Unknown: 0 Proce: 11/11 (0,31 sec) 
3. Contadores: 


ei P32Dasm v2.80 - CrackmeVE3.exe 





File Edit References Toots About 
cx i bel | GS dà m WE S imp Exp EJ A + O 





Suh Form2.Timerl Timer 


Sukh Form? .Timer? Timer 


Sukh Form? .Timers Timer 


Sub Form2.Timer4 Timer 


Sub Form? .Timers Timer 


Sukh Form?.Timer6 Timer 
push "Continue..." 




















Idle Errors: 0 Unknown: D Procs; 11/11 (0,31 sec) 


Podemos apreciar algunas similitudes con VB Decompiler, por ejemplo el 
Forml.Commandl, Click, que sería la devolución de llamada después de hacer clic sobre un 
botón. En la barra de herramientas aparecen los botones más significativos de la aplicaicón: 
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TT 


[P] P32Dasm v2.80 - CrackmeVB3.e 
File Edit References Tools About 


Cx dd | Bm dA E @ | AE Lë Imp Exp [E] v 















<=: each Or 


Si hacemos clic en “Strings”, veremos algo similar al “Seachr for” -> “Strings” en Olly: 


E] List of strings D (eet SS 


View References 


[Congratulations! you've really made it :-) 
|Continue... 
Invalid unlock code, please try again, 


¡Please enter the registation code, 
|start,exe http: /f/users2.lomag.net/ecode/rE/ 
VB Crack-Me 1.0 by Codezero 











[Total : 10 Selected : 0 


A diferencia de Olly, si hacemos doble clic sobre cualquier de estas cadenas de texto no 
nos lleva a la sección de código dentro del desensamblador. 


El botón de “Numbers” tampoco nos revela ningún tipo de información. Luego tenemos 
el botón de “Imports”, que es similar al de “All intermodular calls” en Olly: 


List of Import Functions ~ = mem 


View References 





Total : 44 Selected: 0 E 


El siguiente botón es el de “Exports”. En nuestro caso está vacío. 


El botón de “Objects” debería recordarnos a la pantalla del VB Decompiler: 
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lis fObjects mee et ER 


View 


EB Formi 
: ine Ej Command? "Ab&out" 
SG Command1 "Ch&eck" 


Tabl Texti 
2-7 Line4 
2-7 Une? 
coe Line? 
| L^. Lined 
GP Form? 


- Timer& “6000 ms” 
Cl Command 
P Timer5 "5000 ms" 
FA Timer4 "4000 ms" 
FA Timer3 "3000 ms" 
FA Timer2 "2000 ms" 
EA Timerl "1000 ms” 
cote Lined 

ic AY Label "v1.0" 


A Label? "VB Crack-Me " 


Sei A Labeli Presents..." 















EE Sal Form? 


i [abi Texti 


po Line4 








ka 
= 
m 
i 











Unknown D Objects: 29 E 
Podemos apreciar todos los objetos de la aplicación, como son los botones, las etiquetas 


y los contadores. Podemos ver claramente que el botón “Check” se denomina “Commandl”. Y 
en este caso será el botón de devolución de llamada. 


Por último tenemos el botón de “Procedures”: 
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2 List of Procedures - 


View 





E- E Formi 
|b Commandi Click 
E Command2, Click 


| i3 Form Load 
=). Form2 
| | ig Commandi Click 
| l | ie x Timeri Timer 
: | ie x Timer? Timer 


E Timer3 Timer 

E Timer4 Timer 

| TT x Timerb Timer 
: Ra F Timeró_Timer 
E- E Form 

3 Label2 Click 


Unknown: 0 Objects: 14 y 


Esta ventana nos muestra todas las devoluciones de llamadas de nuestra aplicación. 
Podemos ver que la devolución de llamada de nuestro botón “Check” se llama 
"Commandl Click", donde Commandl es la devolución de llamada de nuestro botón “Check”. 


Una cosa a destacar en la sección de la cadena de textos son los 5 cincos que aparecen ahí. 


—— 


_P32Dasm v2.80 - CrackmeVB3. 
File Edit References Tools About 
Ex d Bm dà mS A Yip bei v AN O 


File: ¢:\Users\Manuel Rey Vilar\Desktop\CrackmeVB3.exe 
P32Dasm v2.80 


VBS Application detected 


004055F4: Sub Forml.Commandl Click 

004056D0: mov d, [ebp] [XX], "VB Crack-Me 1.0 by Codezero" 

QOZ2Q056DF: mov d, [eb XX "Please enter the registation code.” 
00205721: push ee 

0040575E: mov d, [ebp] [XX], "VB Crack-Me 1.0 by Codezero" 

0040577B: mov d, [ebp] [XX], "Congratulations! you've really made it :-)" 
0040579F: mov d, [ebp] [X3], "Invalid unlock code, please try again." 


0040583D: Sub Forml.Command2 Click 
0040588A: push " = 


Errors: 0 Unknown: 0 Procs: 11/11 (0,31 sec) 





Será que... ¡No, no puede ser tan facil! Probemos a ver que pasa... 
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YB Crack-Me 1.0 by CodeZero x] 


Kl ) Congratulations! you've really made it :-) 


Bueno, seguiremos analizando este Crackme para ver que mas opciones hay en 
P32Dasm. Una de las herramientas que tenemos a nuestra disposición son los ficheros MAP. 


Un archivo MAP es una colleción de nombres para procedimientos de CALL's que han 
sido compilados en el código de Visual Basic. Recordemos que Visual Basic utiliza cadenas de 
nombres para hacer referencia a las devoluciones de llamadas, de forma que podemos 
extrapolarlos e importarlos a Olly. Podemos hacerlo con VB Decompliler Pro, pero como la 
versión Pro no es gratis, utilizaremos para ello P32Dasm. 


Seleccionamos “File” -> “Create MAP file”. Guardamos el archivo. 






[Fie] 


Edit Referen ces 









Tools About 
Open File Fl 
Open Project 


Save Project Fl 


Create MAP file 


Ci lUsersi Manuel Rey Vilar Desktop! ErackmeWb>3.exe 


1" 





Exit SE - 


—— . EodeZero" 
nis doi s mov d; [ebp] [XX], "Please enter the registation code." 
pere push xr per Per per Eer E 

Vater eege mov d; [ebp] [XX], "VB Crack-Me 1.0 by CodeZero" 

ia A mov d, [ebp] [XX], "Congratulations! you've really made it :-)" 
00405798F: mov d; [ebp] [XX], "Invalid unlock code, please try again." 








0040583D: Sub Formi.Command2 Click 
00405884: push "Ww 


Idle ‘Errors: D Unknown: D Procs: 11/11 (0,31sec) 


Cargamos CrackmeVB3.exe en Olly y vamos a la dirección 4055F4, que es la dirección 
de la devolución de llamada de Command] Click. 
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OllyDbg - CrackmeYB3.exe - [CPU - main thread, module CrackmeY] E | | 
[e] Fie View Debug Plugins Options Window Help Tools BreakPoint-> E |a| 


el dé Si kl BA EIS m) oe 


DAD EE DB ES 
Ba4assrFa DE ES 

Ba4a55FA PUSH EBF 

DAD EFE , MOL EBP,ESP 

Ba4a55F à SUB ESP, oC 

AB4ASSFA . 65 Bela4üü PUSH ZE. &HSUBUMBB. vbaExceptHandler> SE handler installation 
AA4ASSFF . 64:01 DDDDDDDp MOL ERxX,DWORD PTR Es foi 

Ba4a5 eas . En PUSH EAM 

DAD, . 64:8925 666666668 | MOL DWORD PTR FS:[6],ESP 

DAD EDD . 81EC 9?9Ca8688808 SUB ESP, 9C 

Ba4a5e12 . 53 PUSH EBX 

B64A56 14 : PUSH ESI 

B64A5615 E ntdll.rC9287238 
464445616 : Ae Crackmell, <Modu LeEntryPoint 
66465519 E MOL EAX, EOI ntdll.7cC928728 
Bg4aceilg : FE ANO EDI,FFFFFFFE 

BBO4B56lE à F4 MOL DWORD PTR SS: [EBP-01, ESP 

AA4ASEZ 1 : Bi 

Ba4a5ez4 : MOL ESI, DWORD PTR DS:LEDIJ 

66465626 |. FS 6104068 | MOL GORD PTR SSi TEEF S], 

Ba4acezn . PUSH EDI ntdl l. C9320738 
DAD AE : FC MOL , EA 

DAD E as MOL „EDI ntdll.rcezerse 
DA d ; Ad DWORD PTR OS: [ESI+4] 

D'ADELE E a4asaaaa MOL ESI, DWORD PIR DS: [ES1+364] 

lef E HOR EBX, EEH 

DAD E . PUSH EDI ntdll.rcezerse 
Be4e5646 : 

Ba4an5643 

DAD EA, 

Bag4ase42 

DAAT 

Ba4a5e4F 

D'ADELE 


4 





IC Im m 





Vemos por lo tanto donde empieza la devolución de llamada para el botón “Check”. 
Para importar el archivo MAP en Olly, utilizaremos el plugin MAP converter. (Copiamos el 
archivo DLL y lo guardamos en la carpeta de plugins de Olly). 











Archivo Edición Ver Favoritos Herramientas Ayuda | ae 


CH Atrás e Si 7 } Búsqueda: MS Carpetas 


Dirección |C 

















Tamaño 






Tareas de archivo y carpeta * Carpeta de archivos 





2) x66eas 465 KB Archivo de Ayuda 
c ERR TERETANE" EN analvzethis dll 46 KB Extensión de la apli... 
Ed Publicar esta carpeta en Web E ollydbg 34KB Archivo LIB 
kx! Compartir esta carpeta E ally _bp_man.dll 56 KB Extensión de la apli... 
E readme L KB Documento de texto 
E CmdBar all FOKB Extension de la apli... 
WEEDS SIS 3: ESA 10 IBKB Archivo WinRAR ZIP 
e Oh BYTES, OEP SEB Archivo OEP 
KE MnemonicHelp. dll 12 KB Extensión de la apli... 
O "enge K idaficator dll 266 KB Extensión de la apli... 
(Lj Documentos compartidos E AsciiTable, dll SİKE Extensión de la apli... 
4 MPC -$ CmdBar IKE Opciones de config... 
a. Mis sitios de red 152 KB Extensión de la apli... 
Detalles A 
Plugin 


EBEN de MEN vl -| à | | | 
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“Plugins” -> 


Reiniciamos Olly y volvemos a cargar la aplicación. Seleccionamos 
“MapConv” -> “Replace Comment”. 











OllyDbg - CrackmeYB3.exe - [CPU - main thread, module CrackmeY] 
[e] File wiew Debug | Plugins Options Window Help Tools BreakPoint-> 


(RH a) 2i 


zb 


le wm m Im 







1 AnalvzeThis 
2 ASCIITable 





3 CommandBar 
4 ID4Ficator 


+ 
* Pos: rege, AL 
+ 

a Mapicanv d 
+ 
+ 
+ 


OS: CEA], AL 
0S. FOI nl 













o 401 Ee E: Replace label 

a6 401 160 000 6 Bii: Replace comment 

H: T Ol'vBHelper 

6481101 BABA + H About 

60441103 . Basa a Breakpoint Manager 

66441105 DEB I/O command 

Hagal icr . BBFS 

Hagal ica oF 

464411CA lr a3 Modification of Segment Ce 
He4611CE dz IHC EDK ntdll.KiFasztSuztemCal (Rer 
664411500 BF C3991965 HOW EDI,B51989073 

66441101 . «BSB Ge SUB EBS, DWORD FTR OS: CEB#+6r] 

46441104 , HRB ADO BYTE PTR OS: CEA], AL 

66441106 . HEE HDD BYTE PTR OS: [EAs], AL 

664411083 . Li HDD BYTE PTR OS: CEA], AL 

Dap) , Hlp HDD OWORO PTR OS: CEAS], EAR 

6441105 . HE HDD BYTE PTR OS: [EAs], AL 

He46110E . REE HDD BYTE PTR OS: [CEA], AL 

664011E0 .J Lp HDD BYTE PTR DS: [EA], AL 

HA4611ES . RRR HDD BYTE PTR OS: [EAs], AL 

A64A11E4 . SH PUSH EAs 

604811E5 wv r2 EE JE 

ab4da11Er : 65 PUSH 65 

HA4H11E9 » 63°43) HA ARPL WORD PTR DS: CECK+ESTI,5I1 

He4611E0 . HRB HDD BYTE PTR OS: [EAs], AL 

He4e11EF . REE HDD BYTE PTR DS: [EA], AL = 
aagal IFI .2 Hi ADO BYTE PIR OS: LEHA1.HRHL 


4 rl | 


Seleccionamos el archivo MAP que hemos creado con P32Dasm. Esto nos permite 
poner la informacion del archivo MAP en la columna de comentarios de Olly. 


OllyDbg - Crackme¥B3.exe - [CPU -r E 
[El File View Debug Plugins Options Window Help Tools BreakPoint-> 















664081162 
664481164 
Dap Le, 
Dal LE 
naghi iBA 
nagil EL 
6684481160 
Dal LEE 
44441101 
668481103 
664681105 


DAT LC 
684481101 
Dap Dé 
464641106 
668461103 
nagili DA 
Dap LD 
448441 10E 
664611E6 
BH4611E2 
be4de11E4 
BE4611E5 
444411EFr 
naghi iES 
nagil LEI 
nagil LEE 
nagil 1F1 
4 


ex de] X 


5o 


GH 
637431 Bö 
aan 


aaa 
ARB 





ES124nm8 
ES FaFFFFFF 





FLISH 


,HL 
OR ESI, EBX 


MapCony ¥1.4 l 


1 ) Map File successfuly imported - comments updated 


E 
PUSH 65 


ejes rg 4 






: [LEHS 1, BL 
: LEA” 1], AL 
: [EA], AL 
: LEA” 1, AL 
: [EHS 1, AL 


: CEA), AL 
: LEBR 1, AL 
: CEA], HL 
: LEA” 1, DH 





ai 








HRFL WORD PTR OS: CECK+ES11,51 


HDD BYTE PTR OS: [EA+=1, AL 
HDD BYTE PTR OS: CEA#I,AL 
HDD BYTE PTR OS: LEA» 1]. AL 








I-70 command 


X] |t ication of segment re 
L.KiFaztSuztemCallRet 











Si nos fijamos ahora en nuestra devolución de llamada, podemos ver el comentario que 
nos permite seguir investigando la aplicación: 
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OllyDbg - Crackme¥B3.exe - [CPU - main thread, module Crackme¥] 


[c | File View Debug Plugins Options 





Window Help Tools 


5l: 
alej: 


BreakPoint- 7 






























a Kl ME] HE) BE] I) a | 
BA4HSSFe ES OB ES 
AOJBESFS ES DB Es ~ * 
DAF A EH PUSH EBP Formal  Commandi Click 1íP32Dasm] 
DAF SBEC MOL ERP, ESP 
DAF d BSEC HE SUB ESF, DL 
Be4H5SFA 6S Held4nmmnu PUSH SE handler installation 
Be4HSSFF 64:01 Hp MOL EAS, OHORO PTR FS:Ce] 
DAD 5H PUSH EAs 
DAD 64:3925 AHAHAHHA | MOL OWORO PTR FS:EB],ESP 
ae GE acp Ge 
00466613 
GEES 5 PUSH EDI dl L. 7C920738 
H44H55 nt e 
DAD 1 SBFD as MOL EOI, OWORD PTR SS: TEBP+8] Erackmell, (Modu leEntryPoint > 
4644561 SBC? MOL EAS, EOI ntdll.rcoazar35 
XU [I ERES [RE Bass Eee, cc 
BEBE, DWORD PTR SS:LEBP-C1, 
DAG 21 SSEH Hil e 
Bmna3dase2a aB3r MOL ESI, OWORO PTR DS: [EDI] 
DAD 26 , Crd Fo BalAdaRa | MOL) r 
46445620 & Sf PUSH EOI ntdll.r7Cc928?738 
Be4hS562E . 8945 FC MOLI » EAS 
BA4HS631 230 mua MOL! r ntdll.7C928738 
46445634 FFS6 Ga OWORO PTR DS: CESI+4] E] 
DHA GPP, H4HSHHH8 MOL ESI, OWORO PTR OS: CESI+S64] 
HDDADG 21 = 2306 AUR EBA, EBs 
DAG EE PUSH EDI ntdll.7C928?738 
46445646 . 8950 ES MOL! e EB 
DAD 2950 Ed HOL r EB% 
DHA Ae 2950 D4 MOL! e EBS 
DA A 2950 C4 MOLI e EBK 
DAD AL 29850 Ed MOL! e EES 
Be4HS64F S350 H4 MOL! e EB = 
DD EE 2 . 8950 94 Hou EB 
4 
A continuacións hacemos clic con el botón derecho y seleccionamos “Search for" -> 
“User-defined comment”: 

OllyDbg - CrackmeYB3.exe - [CPU - main thread, module CrackmeY] = | = |: 
[e] Fie view Debug Plugins Options Window Help Tools BreakPoint- - (el: 
Paced "Släd sl vil ivi HU Aa | 
DDADEEE Mame (label) in current module Chr = 
DAF 7 : 
en4e5er4 Mame in all modules SS y Bndi Click [PS2Dasm) 

HH HSSES 

SSF? 

SEBES E Command Chrl+F Copy P | installation 

Be4eSSFF : 

BARRE Sequence of commands Ctrl+5 Binary k 

Ge Constant Assemble Space 

E EET Binary string Ctrl+B Label 

BB405615 Edit comment : 738 

GE All intermodular calls — ! : EE 
SÉIS reakpoin 

SCT MESE Hit trace + 

3B B5E 

a64A5621 All sequences 

aag4asez4 Run trace b 

Ea 5626 All constants 

68445620 : A rag 

AA4ASE2E All switches Mew origin here Ctrl+Gray * 

GE All referenced text strings Go to E Wes CH 
B4ea5637 

ME Follow in Dump k 

Oe User-defined label 222 

euge Search For 

pa4aBE 43 User-defined comment Search Far + 

1045056546 ^.^ eso Dd © Tut i b 

aadeseds | . 8950 C4 MOL Find references ta 

BB4B564C 5950 B4 Mol Vie + 

AA4H564F S950 A4 Mol = 

ammo 5950 94 HOL Copy to executable + 

: Analysis + 





Y podremos ver todos los nombres de nuestras devoluciones de llamadas: 
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Address 
He4+655F 4 


[R] File view Debug Plugins Options 
[ar] 44] X 


Disassembly 







OllyDbg - CrackmeVB3.exe - [User-defined comments] EB = |E | x| 
Window Help Tools BreakPoint-> - [8| x| 


dv dl a 


Comment A 
(Initial CPU selection] 





Bad mss Formi Commandz Click, (FS2Dazm)l 
Eid pb Forml Form Load (P32Dasml 
DDADE OC 3 Forme Commandi. Click. (P32LDazsm)l 
BaAdABACS Form2_Timecl_Timec_[P32Da=m1 
BaAdABBECE Focrm2_Timecrz2_Timec_[P32D3=m1 
DDADEL De Form2_T imers_Timer_(Pse20asm) 
He4+650ER Forme Timerd4 Timer (P32LDazsml 
HE4H5EE9 Form2_TimerS_Timer_(PSe20asm) 
BadaLFF2 Focrm2a_Timecé_Timec_[P32D3=m1 


44446112 Forma Labelz Click, tP32Dasml 








Bajamos un poco desde la devolución de llamada Commandl, Click y podemos ver el 
"good boy", el “bad boy" y el parche que tenemos que hacer: 





OllyDbg - CrackmeYB3.exe - [CPU - main thread, module CrackmeY] P 3 
[e] Fie View Debug Plugins Options Window Help Tools BreakPoint-> m [gm > 
l| 44 X| Kl "j*' kal ai a 1 


2940 AC ,ECR E 






DAD, 751 






















Ba4805754 . EE ESI kernel32.7C8186D4F 
DAD EE . 8940 BC ¿ECH 

DAD EE . 5945 Ad 

DAD EE . 8945 B 

Ba4a05r75E . C745 oc UNICODE "UE Crack-Me 1.8 by Cod 
DAD EE . 5975 84 

Baa4n05r768 . 5055 84 

DAD oe . SD4D C4 

DAD EE ww T4 PA 

EIST Tee . ES COESFFFF 

SITT . 5055 94 

Ba4a05778 . SD4D Dé 

DAD e cb . C745 9C B42564888 | MoU a UNICODE "Conaratulations* you" 
DAD E . 2975 94 MOL ESI 

DAD EE . ES BSESFFFF 

STEIER . 5045 Ad LEA EAX, 

aa4asrsn . 5A PUSH ES 

Baams?sE . 5045 Ba LEA EA}, OWORO PTR SS: LEBF-4C1 

Ba4n5r791 . En FUSH EA} 

Ba4a05r7ss . 5045 C4 LEA EA», OWORO PTR S5:LEBP-3C1l 

DAD oa . En FUSH Es 

Ba4n05796 . 58 Ap PUSH 46 

Aedes oa .v EB 28 

DAD 79g > ES ASESFFFF 

DAD SE . C745 9C Mow | UNICODE "Invalid unlock code, [ 
DAD oe > 6055 94 LEA EDx, 

SITT . SD4D Dé LER EC 

DAD oC . 5975 94 Mow ESI 

DAD DE . ES SEESFFFF 

Ba485r7B4 . 5045 Ad LEA EAH, 

Ba48057B7 . ER FUSH EAS 

AB4BS7ES . 3045 B4 LEA EAs, DWORD PTR SS:LEBP-4C1 = 
ME . Eb FUSH ES 

4 | + 


Ahora lo único que nos queda por hacer es eliminar el Nag. Volviendo a P32Dasm 
echemos un vistazo a los CALL’ s de los contadores: 
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la 


| File Edit References Tools About 


Ea dà $ o | AE 13 Imp Exp EI cv EH Ga 60 


& EH 


kees 
00405487: 


D0405AC5:; 
00+05BCE: 
020405CD7: 
00405DED:; 
DO405EES5:; 


Q0405FFEZ2: 
00406045: 





ah EH mea 
PTI-. — e - 


Ee = = - - 


Sub Form2.Commandi Click 
push "2222222222222222222222222j?" 


~Limeri Timer 


.limer2 Timer 


.limer3 Timer 


.limer4 Timer 


¿Timer Timer 


Sub Form2.Timer& Timer 
push "Continue..." 


A: 


Podemos ver que Form2 es la pantalla del nag, ya que es el que llama a los contadores. 
También podemos ver que Form2.Command1_Click es la devolución de llamada para hacer clic 
en el botón “OK” después de que el contador haya finalizado. 


Una solución sencilla sería sobreescribir el primer call al contador y hacerlo saltar a la 
devolución de la llamada para el clic del botón “OK”. 


Si vamos a la dirección 405ACS5, vemos el comienzo del primer contador: 





OllyDbg - Crackme¥B3.exe - [CPU - main thread, module Crackme¥] E = | | 
[e] Fie View Debug Plugins Options Window Help Tools BreakPoint- x: (el 






DAD HË € 
DAD HEG 
SES IST 
DAD HL H 
DAHL 1 
DAD HL 2 
DAHL 
DAD HL E 
DAD HL 
DAHL P 
DAHL 
BE4+6SA06 
SES IST 
DAD HIIE 
DA HE 1 
DDADEHE 2 
Hath AEZ 
Be4+6S5RE4 
HE465AE? 
BE46SAES 
BE46SHEC 
Be48SHEF 
DRADEHE 3 
DAD HE 4 
DAUER 
DADEHEL 
DADGHEF 
aadasBgaz 
addasgas 
Hdd dB 
DAG) 
HE4ESBHE 
Be4+65614 


4 


lame] «X KI "gl al a 


SF POF EDI 

















5E FOF ESI 
64:9900 apapap | MOL DWORD FTR FS:r83,ECX 
5E POP EB! 
ca LEALE 
. | C2 nm4a8 RETH 4 
>» LES FUSH EBP 
. BBEC MOL EBP,ESP 
SSEC ac SUB ESF, DC 
6S A6104006 FUSH 
64:01 DD MOL EN, DWORD PTR FS:C0] 
ca PUSH EAS 
64:8925 BBB | MOL DWORD FTR FS:r83,ESP 
SSEC 18 SUB ESP, 185 
53 PUSH EB 
SÉ PUSH ESI 
Eé PUSH EDI 
BB?D 88 MOL EDI, DWORD PTR SS:rEBP*81 
SBC? MOL EAS, EDI 
83EF7 FE AND EDI,FFFFFFFE 
9965 F4 MOL DWORD PTR SS:rEEBP-El,ESF 
S3E0 ai EA, 1 
aga MOL ESI,DWORD PTR DS:rEDIJ 
C745 FS 301040090 | MOL. DWORD PTR SS: IERP SI, 
5? PUSH EDI 
5945 FC 
5970 08 
FF56 bed 
5365 ES Bb 
6365 Ed Bb : 
Ee PUSH EDI 
FFS6 aaasamana CALE DWORD PTR OS: [ESI+2364] 
Ep PUSH EAH 
23045 Ed LEA EHX.DWHORD PTR 55: CEBP-10] 








kernel32.rTC816D4F 
kernel22.7C816D4F | 


kernel32.rC8186D4F 


Forme Timeri Timer (P22LDazm)l 


SE handler installation 


ntdl l. C9207385 
Crackmel.zhHodu leEntryPoint > 
ntdl l. C9207385 


ntdll.7C9287338 E 
ntdl l.r C9260739 


ntdll. C9280738 
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Cambiemos el comienzo para que apunte directamente al código responsable de cerrar 
la pantalla nag. En P32Dasm podemos ver que esa devolución de llamada está en la dirección 
4059C2: 


Dëse Tools About 


00405721: sh "55555" 

0D40575E: mov d, [ebp] [XX], "VB Crack-Me 1.0 by Codezero" 

0040577B: mov d, [ebp] [XX], "Congratulations! you've really made it 
00405759F: mov d, [ebp] [XX], "Invalid unlock code, please try again." 


0040583D: Sub Forml.Command2 Click 
001058584: push "om 


004053905: Sub Forml.Form Load 
00405957: push wt Ar Ee Är Ee Ae Ee Ae fe Au Ke Au Ee A Ze Ae Ee Ae Ee Au Ee Ae Ee ke Ze et 


001405971: 


00405ABT: 


QO405AC5: Sub Form2.Timeri Timer 





Wa 


Procedamos a parchearlo: 






OllyDbg - CrackmeYB3.exe - [CPU - main TA L qmi: 


[€] File view Debug Plugins Options Window His m at OO405AC5 X] 
| ot) MP 405373 T 

BE465AB7 POP EDI 

DAD HG POP ESI 


. | 5E 
SE485062 | . | 64.8900 66000000 | MOL DWORD PTR Eër D ! 
me4asaca | . | 5B POP EBX W Fill with NOP's Cancel | 
Be4B5RC1 | . |t9 LERUE 































aa4asncz . | C2 6466 4 
GGADEDCE > LES PUSH EBP Form2 Timerl Timer (PS2Dazm) 
BB4ACACE . BBEC MOL EBP, ESP 

Ba4asnacs . B3EC GC SUB ESP, ac 

Baa4asncE . 62 Delia PLUSH SE handler installation 
DAD DD . 64:01 HAEHAA MOL EAS, DWORD PTR ES: toi 

DAD DD, . 50 PUSH ERX 

DAD DD . 64:9925 aaaaaaaa|MOJ DWORD PTR FS:ra81,ESP 

AB4ASADE . B3EC 18 SUB ESP,.18 

ABd4BSAE 1 . 53 PUSH EEX 

Ba4a5nEz . 56 PUSH ESI 

Ba4asnEs . 57 PUSH EDI ntdll.7C928728 

Ba485nE4 . SBBTD BS HOU EDI, DWORD PTR SS: TEBP+8] Crackmel, (Modu leEntruPoint> 
Ba4a5nE? . SBC? HOU EAX, EDI ntdll.7C928728 

AR4ACAES . BSEr FE AND EDI,FFFFFFFE 

AG4O5AEC: . 8565 F4 J DWORD PTR SS:[EBP-C1, ESP 

Ba4a5nEF . SBSEB8 Gi ARO E 


Bx, 1 
BB4BEBFZ i HOU ESI.DWORD PTR DS: [EDI] 
Be4e5AF 4 i MOL Dip PTR SS:rEBP-81, 
BIB BESBFE ; 

BB4BEBFC CH 

BIB BEBFF 
Bn4asEpa 
BBD4B5EBS 
BID4 Ema 
AG4eSEe0 EDI 
BB4BSEBE i 55518151515) CALL. DWORD PTR OS: [ES1+300] 
AB4ASE 14 . 5B PUSH EAX 

BB4BEE1E5 . 8045 E4 LEA EAX. DIOR PTRE SS:TEEP-iCI 


4 + 


ntdll.rea2Hr35 [| 
ntdll.rc928r735 


ntdll.rc928735 








Saltamos a la dirección que cierra nuestro nag. 
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addaosHBr 
DAD HG 
DAD H 
DRADE HCH 
DAHL) 
DAHL 
DAD DC 
DAD HCH 
DAD HCP 
DAD HG 
DAD HUG, 
DAD HI 
Be4+6S5A0E 
BE465HE1 
BE46S5HE2 
HE4HSHES 
DAD HE A 
DRADEHE d 
HE4HSAHES 
BE4HSHEC 
DRADEHEE 
DRADEHE 2 
DRADEHE A 
BE4IESAFE 
BE4ESHFC 
DRADEHEE 
DAD DO. 
DAD PO, 
5/55 151=15j5 
Dao 
DAD DOE 
DADEPIA 
Dal 
BAFHSE 15 
4 


OllyDbg - CrackmeYB3.exe - [CPU - main thread, module Crackme¥] - 
[e] File wiew Debug Plugins Options Window Help Tools BreakPoint-> = (el 









ir 44 X! KI bai ad all a 


Le vs vs nm haa 














5F FOF EDI kernel32.vrC8i15D4F E 
5E POF ESI kernel32.rC815D4F 
64: 5900 meme | MOL DWORD PTR FS: EBI.ECE 
EB POF EBX kernel32.vrC815D4F 
C3 LEALE 
. C2 8466 d 
zs zh FEFEFFFF bp Crackmell, Hadas Formz Timeri Timer (P32Dasml 
65 616464 PUSH SE handler installation 
64:01 miae HOL EAS, OWORO FTIR FS: Ca] 
5g PUSH EAX 
64:5925 manae | NOW DWORD PTR FS: EBI.ESP 
SSEC 18 SUB ESP, 13 
53 PUSH EBR 
Eb PUSH ESI 
Ge PUSH EDI ntdll.7C92B8733 
SBErD ae HOU EDI,DWORD PTR SS: EEFE] Crackmell, (Modu LleEntryPoint > 
BC o HOL EAS, EDI ntdll.7cC928733 
SSEFY FE sh EDI,FFFFFFFE 
2965 F4 U DWORD PTR SS:LEBP-C1, ESP 
S3EBH Al AND E Ax, 1 
Äis ESI,OWORD PTR DS:CEDI] 
ntdll.7vcC928733 
ntdl l.r C3260738 EI 
EDI ntdll.7C92B8733 
Eier Se|E FALL DWORD PTR OS: CESI+366) 
Gë PUSH EA 
8045 Ed LEA EA, DWORD PTR SS: [EBP-1C] = 
5g PUSH EAN 
H 


Si reiniciamos la aplicación podemos ver como aparece el nag durante unos pocos 
segundos para luego desaparecer. 


Otra herramienta util en la batalla con Visual Basic es el plugin OllyVBHelper. El 
proposito de este plugin es encontrar y reediquetar la importaciones compiladas de Visual Basic 


(DLL’s). 


Como ejemplo podemos cargar cualquier Crackme, hacemos clic con el botón derecho 


para seleccionar “Search for” -> “User defined labels”: 




















anda]! 
Beet 2 
Bede 1 2! 
Bede e! 
Bede 1 2! 
Bede Z 
Beet zi 
Bede zi 
Beet Z 


^3 Pà P3 P P PO PO 
^] 74 74 74 7 Cs 


4D co ms E fT) 


OllyDbg - CrackmeVBz.exe 


Fie View 


aada2934-Crackmel.tBmadao29234 









Debug Plugins Options Window Help Tools BreakPoint-> 


Mame (label) in current module Ctrl+h 3 +] +. 
Mame in all modules 














Ld 
Command cher Backup ASUBUREA. ThunRTHain 
Sequence of commands Ctrl+5 Copy k 
Constant Binary d 
Binary string Ctrl+B åssemble Space 
Label : 
All intermodular calls 
Comment ; 
All commands l 
Breakpoint k 
All sequences Hit trace p (JR LFastSystemCal (ber 
All constants 
Run trace d 
All switches 
All referenced text strings Go to b 
Follow in Dum k 
| User-defined label i 
User-defined comment Search For k 
. ara 61 ADO BYTE PTI Find references to + 
~ fo ro : 
~ T? EE View H 
E Copy to executable + 
1I! (E TI Analysis k 





Help on symbolic name Ctrl+Fi 
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Antes de usar el plugin esta ventana esta vacia: 


User-defined labels [ | BR [mi sl 


Label Disassembly Comment A 





“Modu leEl PUSH Crackmell, Gopapn12EG (Initial CPU selection) 


Af | el z 


Ejecutamos el plugin: 





OllyDbg - CrackmeVB2.exe 
File View Debug | Plugins Options Window Help Tools BreakPoint-> 






=| dl 


wee Z 4511 Table 
3 CommandBar 
4 ID AFicator 
5 Mapcan' 


ai 


LI a 


1 AnalyzeThis 












Dal z393 
Dal 23E 
Dal Zap 
Dal Za 
Dal 294 
Dal 246 
Dal Zar 
Biadda1249 
SES HS 
nagil ZA 































7 JMF ta MSUBUMSAO. ThunRTHain 
PTR DS: [EAX], AL 
PTR DS: EEN), AL m] 


PTR DS:LEHAl,.HL 
PTR OS: CEAS]. H 


Find and Label OllFunctionCall Stubs and MSVvBvM Imports 


About 


& MnemonicHelp 
7 OllyVBHelper 










k 
k 
k 
k 
+ 
k 
k 
+ 


rr E II a ITE 


D Breakpoint Manager 












Biada12z4F DOE 2c HDD BYTE “PTR oS 

Dal 252 35 61200088 ADR EAS, 8002081 

Dal ZE 4H DEC ED ntdll.EiFastSustemCallRet 
Baada812538 HB STOS DWORD PTR ES:LEDI]l 
BE461259 HE PUSH ES 

64812548 BC El54E6485 HOW ESP, 45£654E 1 
Be46125F ASSIS FADD QWORD PTR OS: [EA] 
Hagal zél BEBE HDD BYTE PTR OS: [EA], AL 
BE461265 BEBE HDD BYTE FIR DS: [EAs], AL 
Hal 26, Hop) HDD BYTE PTR OS: CECH, AL 
Dal zer BEBE HDD BYTE PTR OS: [EA+=], AL 
BE461269 BEBE HDD BYTE FIR OS: LEA=J], AL 
Dal 26E DH 

DAT Ze Ban 

Be46126F Bara 61 

Dal Ze v r3 r3 

Badnilsr4 v CC BF 

Bedale? v re 6d 

Danl ZC D 

Hg T9 in 





af 


Y podemos ver todas las llamadas a nuestros métodos, similar a cuando importamos el fichero 
MAP. 
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User-defined labels | 


Label 


bah 
bat o 
ubaFFP 
adi fd 
adi fd 
adi fd 
adi fd 
adi fd 
adi td 
adi fd 
adi fd 
adi Fd 
adj fp 
adj fp 
adj fp 
adj fp 
CIatan 
Clexp> 
CI log> 
CIsin? 
El=qrt 
Eltan > 
allmul 
ubaFr 
ubaFr 


= 
rr 
Ù 
m 
zi 


bat 


Aaa 
Hh 

ue ce ibo 

UU ZC 

iu Ou ui n 

Tow -— 

Soom 


aie 


vbaFr 


ail. 


Disassembly 


JHF 


DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 
DWORD 


DWORD P 


FTR 


:[Lz&HSupglmes. 
:[L&s&HSUplmen 
7 L&&HSuplmen 
:L&&HSuplr en 
Ss [Lz&HSUBglmen 
Ss CABHSUBUNEE 
:L&&HSuUplrmen 
:L&&HSuplrm en 
:[Lz&HSUpglmen 
7 CABhHSUBUNEE 
CE ASUBUNGA 
:[z&HSUplmen 
:[z&HSUBglmen 
Ss CABhHSUBUNEE 
:L&&HSuplrm en 
:[z&HSUplnmen 
Ss [Lz&HSUBplnmen 
7 L&&HSuplnmen 
2 L&&HSuUBplrm en 
2 [z&HSUplnmen 
Ss CABhSUBUNEE 
7 L&&HSuplnmeg 
:[L&&HSuplrm en 
: [z&HSUplnmen 
Ss Lz&HSUplnmen 
2 L&&HSuplnmen 
:L&&HSuplrm en 
Ss [z&HSUBglmen 
7 L&&HSuplunmen 
: L&s&HSuplmen 
:L&&HSuUplrm en 
: ECAMSUBUNES 


Comment 
. ub. wuvbaChkstk 
e vb. vbaEsceptHandler 
E vbaFFEscept ian 
» adi. adj Fdi« mli 
. adj. adj fdiw«v m3z 
» adj. adj fdi«v mse. 
., adj. adj foi md 
» adj. adi fdiv r 
. adj. adj fdivr mi&tL 
., adj. adj fdivr m32 
» adj. adj fdivr mse i 
. adj. adj fdivr mé4d4 
. adj. adj fpatan 
., adj. adj fprem 
» adj. adj fpremi 
. adj. adj fptan 
„a CIs _Clatan 
» Cle _Clexp 
zb DUET log 
. LIa4. CIsin 
..LIs. CIsurt 
E EE EE Ge 
» all. alimul 
» Mb. ubaFreelarLiszt 
e ub. vbaFreellar 
E vbaEnd 
» ub. whaStrCat 
» ub. ubalar[ump 
»#595 rtohHsaBaos 


e ub. vballarHave 
» HMD. vbaFreenbjList 
HMD vbasFreeStrlist 
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7.21 Caso practico 21: Técniquas anti-depurador (anti- 
debugging) 


Las técniquas anti-debugging son métodos usados para engafar a los depuradores, 
haciendo el trabajo para un ingeniero inverso tan dificil que el analista no se siente lo 
suficientemente motivado como para crackear un programa. Algunos de ellos trabajan sobre 
desensambladores estaticos (como IDA Pro) y otros sobre depuradores como Olly o SoftICE. 
Los depuradores se pueden clasificar en dos categorias: de barrido lineal y de recorrido 
recursivo. Algunas técniquas anti-debugging se emplean especificamente contra ese tipo de 
depuradores y las otras en aquellos depuradores que explotan fallos en el mecanismo de 
depuración en general. 


Una de las técniquas anti-debugging más obvias es la ofuscación de código, con la que 
se persigue hacer un código lo más ilegible posible. Aquí se incluyen métodos como el código 
espagheti (saltando de un sitio para otro sin rumbo definido), cadenas encriptadas, haciendo que 
el método de las llamadas a nombres sea irrelevante (para código interpretado como Visual 
Basic y .NET), y la ofuscación del flujo de código, donde el flujo del código no sigue una 
dirección lineal. 


Otro tipo de técniquas son el código auto modificado y los polimorfismos, técniquas 
que ya se vieron en ejercicios anteriores y que se emplean fundamentalmente en los virus más 
robustos y en malware en general. El código auto modificado es una técniqua donde los opcodes 
de un binario son cambiados de forma dinámcia (en tiempo de ejecución), haciendo imposible el 
estudio del código sin ejecutarlo línea por línea. Polimorfismo es la técniqua de cambiar el 
código del binario mientras mantiene su funcionalidad cada vez que se copie el binario. 


Además existen otras tecniquas que tienen que ver con la forma en que el sistema 
operativo maneja la depuración. Aquí se incluyen las llamadas a las funciones API de Windows 
que nos dicen si nuestro objetivo esta siendo depurado, comprueban de forma dinámica la 
existencia de puntos de ruptura en el código, eliminan puntos de ruptura de hardware y utilizan 
fallos conocidos para intentar sabotear el depurador. 


Estudiaremos algunos de estos métodos en este ejercicio aunque podemos estar seguros 
de que existen formas mucho más complicadas en la vida real. 


Ejecutamos AntiCrackme.exe haciendo doble clic sobre el binario: 
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Anti-crackme 


ROR CR ROP 


C), j PS 
( Y OAL bima you want if) 


Enter serial: B | 


Super Secret Elite Cracking Squad 





Introducimos un serial: 
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(“Y OAL Lion. you want 3) 





Enter serials BES ME 





Super Secret Elite Cracking Squad 
Pulsamos sobre el botón “Check 1t” y recibimos como respuesta: 


Please do not run me in a debugger. 
Aceptar | 


Abrimos Olly y cargamos la aplicación: 








http://masteracs1.ual.es/ 





OllyDbg - Anti-crackme.exe 






File View Debug Plugins Options Window Help Tools BreakPoint-> 







ex de] X 


emj + ALS sed et 





CPU - main thread, module Anti-cra 





[icu coa RE E E Gill 
E 5 S C IR 
Ceo mr c A a 


Ka] 
Gi 
A 
Gi 
[=> 
Kal] 
j= 
D 


GGAp1 070 
GGAp) Op 
Bade 026 
GoAp1 Ob 
GA) 820 
BG48182E 
SEENE 
SEEREN 
664816830 
Bede 1 ASF 
60481044 
604816045 


DA) Dan 
anaa1d4F 


66441059 
4446145 
Dal pel 
Dap) Hes 
Dap) 868 
DA LD 


d 






D 
= Aer 








GH BA 
ES 01628688 
H3 rasadana 
GH Bä 
63 26104604 
GH Bä 
68 10304000 


FF35 7604004 
=e 250829444 


ES Hrüazmaad 
55 


PUSH & 
CALL 
HOW DWORD PTR DS: [4630767, EAR 
PLUSH 





PUSH DWORD PTR DS: C4038076] 
PUSH EAX 
PUSH EBF 
MOL EPP, ESP 

CHP 116 


PUSH BBEBS 
PUSH 












SBEC 
GOLD Bc 16818688 
Yo 1H 


62 BSBBnmaan 
FE We 

ES rüd2BHadd 
5H 


ES 52020000 
ES 63686008 


EB 53 
aarL Bc 18 
r5 BL 
GH Bb 


FFrbB as 
ES 40820008 


EB 46 

S170 mac 11016666 
ro 34 

SB45 18 

SESE 16 





OllyDbg - Anti-crackme.exe 















phoda Le = MULL 
Gethody LeHandLleH 


IParam = NULL 

DlaFroc = Ant i-cra. 641428 
hOwner = HULL 

plemplate = "MyDialog™ 
hInst = NULL 
DialogBoxParamA 

Ex itCode = & 

Ex itProcess 


hlind = 6444104 
GetOlgitenm 

hind = NULL 
SetFocus 


[kine = aa = BBS ([SHHH, 1 


Result = B 
[tina = 6401044 
EndDialog 





File View Debug Plugins Options Window Help Tools BreakPoint-> 





Em 44| XI j 


eje E | > 


CPU - main thread, module Anti-cra 





he461118 
6441116 


OO eor en on eor CO en en! C! CA POL ba buä ba Fr Pd 


D Tm un ca Jm Cn -E on Po e c» T A CO TD «n 7 


en 
ien 
A 
[d 
[== 
[== 
Ll 


Ab44113C 
46441130 
468441141 
bb6441142 
6441143 


Dap) la 
Doan) Tat 
4684481140 


4 









SA POP EDA 
BF 83688808 MOL EDI,.3 


SBICBD E91 Laang 
FFOS 







4F DEC EDI 
75 F4 
EB E? 
C3 
ES | B9 
ES DB 63 
z SEN 
HR 
an DE op ZA 
SE DB 3E = 
ce DB Ce E 
BF DB BF l^ 
Ba DB 24 
De DB Oe 
SR DB op 
SR DB op 
ER DB op 
ER De Al 
CDD DO Anti-era. 00403207C 
BE DB SE 
1D DB 1D 
2han SUB OH,BYTE PTR OS: CEA] 
46 INC EA» 
naa ADO BYTE PTR OS: CEAX],BH 
05744F ES FDIU DWORD PTR OS: CEDI+ECK#2-12) 
aaa ADO BYTE PTR DS: LEON), DL 
Baca ADO BL.AL 


HOL EBX, DWORD PTR OS: CEDI #4+4611E9] 


kernels. 7CBS16D4F 





ntdll.7C928788 _| 


CHAR "e" 
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DA) la A DsrddF ES FOTW DWORD PTR DS: LEDITECRW*2-1231 P 
468441140 FO STO 





46441140 . HE HDD BYTE PTR DS: CEA], AL 

4644114F . ECS HDD BL,AL 

66401151 : Al 7rO02046b60 HOW EAs, OWORO PTR OS: [444870] 

64011565 . 3808 CHF AL,BL 

6441155 Oe fd BS 

he461154 . ES EER 

4444115F > LS 

66441166 dE CHAR "Hi 
46441161 21 CHAR "+*+" 
46441162 3H CHAR "4" 
464441163 ir CHAR "L" 
60481164 14 — 

6401165 B1 DB 61 CHAR "a" 
6401166 BS De 5283 ZA CHAR Tast 
SISEISNNWEK EK DB 29 e CHAR "1" 
HA461168 2d DB 24 CHAR "5" 
6441169 11 DE 11 

6441164 18 DE 13 

46441166 41 DE 41 CHAR "A" 
46441166 4E DE 4E CHAR "H" 
46441160 =1 DE 21 CHAR "+*+" 
66401165E BH DE BH 

68401165F HL DB Ar 

68401170 . gb 21 BS zB 24 C9 ASCII "z*z-rzp".8 

Hä4äaiirr dp DB 44 CHAR "is" 
4A4da1178 zd DB 24 CHAR "5" 
HA4+61179 w #2108 AHO EAR, ECK 

4444117rB 0169 H5Büamdmida SAR DWORD PTR OS: CEC#+5I],1 

464411581 = 3ELS CHF EC, EA = 
60441123 v F4 5D JE SHORT Bnti-cra.G84811E2 

4 k 


Ejecutamos la aplicación en Olly pulsando F9. Se abre la ventana siguiente: 



















OllyDbg - Anti-crackme.exe E. = | = |x 
Fie view Debug Plugins Options Window Help Tools BreakPoint-> 
Running ` |Em|44|x| lui "€ vj Al + E 
CPU - main thread, module Anti-cra B - - [B] x 
HA461688 A 3 Ae PUSH & phoda Le = HULL SS 








again ES 01026604 
66441007 . AS rasm4asna 
Hagal Aa . 6A BÖ 

DA LE , S 261040606 


GetModuleHandleA 

HOW OWORO PTR OS: [4634761], EAs kernel32.70C8834FC 

PUSH & IParam = HULL 

PUSH Ant i-cra. 88461628 OleProc = Ant i-cers. 86461826 


















Ba4g1813 . 6H Be PUSH & hüuner = NULL 
pnadnimni5 . 68 10304660 PUSH Hnti-cra.mmdaasmin pTemplate = "MuDialog"" 
6461614 . FESS 70304000 PUSH DWORD PTR Ds: [463074] hInst = BBdaaana 
646182 . ES 88828888 DialogBosParamh 
Ba4giaz5 . Eb PUSH ERX En itCode = ?CSQ24FC 
40461426 ES nrazaaaa ExitProcess 
66401828 "Mr PUSH EEP 
48461820 . BEC Mow con ren 
gadelgoE S1rD ec 18818888 | CHP HE Debugger Found! X] 
La Lk AS WI 
PROP. 13 VEA T EE 
Hal a . ¡Wir = 

SÉ . ES epoozponp Please do nat run me in a debugger. (gern laItem 
008401044 . EB hind = vCSBS4FC 
60401845 . ES 520200600 SetFocus 
andaba ||. ES esemaana 
Ba4a184F .« EB Eë 
60461451 > S870 ac i8 
48401455 ~~ TE BC 
BB4B1857 . 6H Be Result = @ 
Ae4e1859 . FF75 88 [tina = BaisEFea 
Eër EB 4nazmaaa EndDialog 
008401461 .« EB 46 
Ba4o1a863 > B17D ac 11010008 
66481864 fo d 

186C 

HEF 





anda . B45 18 m 
laa . SESS if j 
4 b 


Si nos fijamos en el principio de la aplicación vemos que se inicia con un cuadro de 
dialogo como ventana principal. Si ponemos un Breakpoint en la dirección 40100C y 
ejecutamos línea por línea (pulsando F8), tampronto pasamos el CALL de la dirección 401020 
hacia DialogBoxParamA, verificaremos que toda la aplicación está contenida en ese CALL ya 
que todo el código es ejecutado desde devoluciones de llamada basadas en los eventos de ese 
cuadro de dialogo. 
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OllyDbg - Anti-crackme.exe 





File View Debug Plugins 












Window Help Tools BreakPoint-> 
oi +] SU] dl > 


Options 
» iil 






Æ| 44] X 








































CPU - main thread, module Anti-cra e [O] X 
A PUSH B podu Le = MULL SS 
46 Diop CALL GetMody LeHand Len 
dE ria3adaug HOU OWORO PTR OS: [4636746], EAS Ant t-cra,. RHDEIDE 
AA USH & [Param = NULL 
e461 Ba 68 22104000 PUSH Ant i-cra. 8481826 DlaProc = Ant i-cra, 60481828 
Badaidis 6A Be PUSH & hüuner = NULL 
64681015 63 103040040 PUSH Ant i-cra. 004083010 plemplate = "HuDialoa" 
Be4618140 FF35 ra3B4umua PUSH OWORO PTR OS: [4444] hin=t = BB ` 
6401024 ES 230266040 CALL Lii aloaBosPFaramH 
6441425 54 PUSH EA Ex itCode = 486888 
6441025 ES Hrhzmnidad Ex itProcess 
66401628 55 PUSH EBP 
6640120 SBEC HOLU EBP,ESP 
66401A2E S170 mc 16616666 | CHP 11H 
66401435 wie FE 1H 
6640147 es BG PUSH OP ControlID = BBS (23664, 1 
6640145 FF?5 D PUSH [tina = HAD LG 
Be4610SF ES (FRRShRRe GetDlaltem 
6441044 54 PUSH EA hind = Dad 
66401045 ES 22626064 SetFocus 
Eidag1m]4n8 . Es 63688088 
Be4+6104F we EB 52 
66401451 2 Bard BC Ip 
66401455 a rG BC 
6640157 GH Bö Result = Ø 
66401059 FFrs D [tina = HAD LG 
6844155 . Es 4082hHH8 Endblialox 
6441661 wv EB 46 
66401653 + 68170 BC 11016000 
664a1a5A aw rO 34 
Badag1mdsc . OB45 18 = 
H4 HEF . aB55 16 
4 F 


En Windows, cuando un dialogo se usa como ventana principal, ello significa que tiene 
que haber una devolución de llamada principal que es llamada en primer lugar y que se suele 
denominar “DlgProc”. Para encontrar la dirección de esta devolución de llamada principal, 
miraremos las variables que son pasadas a DialogBoxParamA. Como vemos en la siguiente 
pantalla el “DlgProc” tiene el valor de 40102B. Esta es nuestra principal dirección de la 
devolución de llamada DlgProc. 






6A Ba 
62 26104006 
6A Ba 
62 10304000 


FF35 rBam4aan 
ES 83426808 





"Hu[lialaa'"" 
hinst = mBiaduanmad 
DLaloaBasParamH 






PU 
PUSH DWORD PTR DS: [403070] 
CALL 


Si miramos el código fuento podemos ver que se trata de un asunto bien claro: 


invoke 
hinstance, 
invoke hIīInstance, 


invoke 


D lgnName 





A continuación pondremos un Breakpoint en la dirección de DlgProc y ejecutamos la 
aplicación, dejando que Windows corra hasta que la devolución de llamada es llamada, para 
detenerse aquí. Ponemos un Breakpoint en 40102B y pulsamos F9. Nos detendremos al 
comienzo de DlgProc. 
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OllyDbg - Anti-crackme.exe - [CPU - main thread, module Anti-cra] -|E | x 
[c | Fie View Debug Plugins Options Window Help Tools BreakPoint-> [a] x 
Lame] 44) X| Kl "wj ln a 3 
egoadaimaa ms Ae PUSH o pHodule = NULL p 
Bagdaimaz||. ES Dis2zpmaud CALL Get Modu LeHandleH 
Elda lar AS rüaaza4agmga HOW DOUD PTR D2:L4828781,EB* 
DD HAC He PUSH B [Parar = MOLL 
A461 AGE 26104606 PUSH Ant i-cra, 66461628 DlaProc = Ant i-cra, 00481026 
Hagall GH Be PUSH & hüuner = RULL 
AA4e1e1S 65 10304006 PUSH plemplate = "HuDialoa" 
aa4a161A FF35 ra344064 PUSH OWORO PTR OS: [443474] hinet = DD4EDDDp 
1624 ES 23024406 DialogBosParamA 
11625 DH PUSH EAS ExitCode = TFFDEGaB 
11026 ES Aranda Ex itProcess 
55 FUSH EBF 
Ade Tae SBEC HOU EPP, ESP 
HASH 1 BSE S170 ac 18818608 | CMF 114 
Baadpim3b||.- 75 1A 
SISËISNISER 62 DG PUSH HBBS ControlID = BBS i3006. 1 
468461430 =- FE H8 FOSH [tina = 464414626 
aadB1aBSF ||. ES rump GetODlglten 
Ardbladd ||. 56 PUSH EAS hing = FFFODERRE 
40441645 ES 252024006 SetFocus 
HA461644 ES 6238008 
HASH 1 A4F .« EB 52 
46401051 2 8370 AC 1# 
6461655 |]. 75 BL 
Dale GH D Result - B 
460441459 FE e a3 [nina = = 20401026 
4684461 HA50 ES 4082008 EndDialoa 
460441661 we EB dë 
AR46186S | > 5170 BC 11016000 
AA4616648 ww FER 34 
Hagal HeC 5645 16 MOL EAR, 
Ae46106F SBSS 18 MOL EDs, 
Baa 1mírz C1ER 18 SHR EDA, 16 
Bmgdaim?5]||. 66:BBD2 OR Of, Da = 
sadeiere ||. 75 SE JNZ SHORT Anti-cra. 06481049 





Podemos ver que primero vamos a comparar un argumento con 110h, que es el ID para 
el mensaje de Windows WM_INITDIALOG, o el código inicializador del dialogo. 


En esta sección hay un CALL a GetDigltem y SetFocus. Esto lo que hace es enfocar el 
cuadro de edición del serial cuando la ventana se carga por primera vez, de tal forma que 
cuando empezamos a escribir el serial, este saldra en el cuador de edición. Eechamos un vistazo 
al codigo fuento para averiguar como se consigue esto: 


Sal De eI hund . ubisg , wParam . |Param 
Beginning of DlgProc 


ulmsg- 


Invoke hwnd, IDD. EDIT 


1 nyo k = 


CheckDebug 
INITDIALOG 


Si ahora nos fijamos en el CALL en CheckDebug, vemos que aparece en la dirección 
40104A en el desensamblador. Si seguimos a este call, pulsando F7, saltaremos a la rutina del 
CheckDebug. Y seguiendo el CALL iremos al método CheckDebug que incluye un CALL a 
IsDebuggerPresent: 
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OllyDbg - Anti-crackme.exe - [CPU - main thread, module Anti-cra] 


[e] File View Debug Plugins Options 
KH 


ex 44) X 












4640145 C3 

BE4616HE |}. Ce 1006 
BES61GA9 |} > BS 61000066 
BA4616AE |}. CA 

BE4S616HF |w. Ce 1606 
Badaigp2| $ ES 2726680 
DAD TL DÉI S4Ce 

260401 Es ~ PS Bl 
BE461GBB | . C3 

BE461GBC | > ES 72610066 
BA4h18C1 | s BF31 
HA4eiecs| . 5A 

DAD LD a 3234 

DAT ACE BFS1 

DAT DC ¿64424 
BE4S616CE | . 30 ma2zasaanda 
664681608 | .- rr 19 
BE461e02 | . GH BA 
668401004 DÉI PCSE4688 
DA LO 63 DOP 
46441 ADE FFSS re204000 
DAT DEA ES D161 8888 
BE4616ES 53 

BE461GER | . C3 

BE4S616EB | > ES 436010066 
Oil $ ES meanamana 
BE4618F5 SSF B3 
BA461GFE | .- 74 Bei 
BaAdalaFA | .- 75 BE 
BAdalaFE] > 41 

BE461GFO0) . 58 

BaAdalaFE | .- 74 48 
Badaliss]| . 4r 

aada81181] . 

DAT 10 2966 40 





Window Help Tools BreakPoint-> 


EEE 
LEHUE 
14 
MOL EAR, 1 
LEALIE 
14 


TEST HL,HL 


NL 


ROTSC 

PUSH EAK 
ADR EAR, EAS 
ROTSC 


SUB EAR, 
CHF EAA, 2688 





ai 




















PUSH BBBS 
PUSH DWORD PTR OS: [463473] 


POP EAA 


MOL EAA, 2 
CHP EAA. 3 





IHC ECH 
POP EAA 


IMC EDI 
ARA 
CHP OWORO PTR DS: LEBRs*4D 1, EBF 










EIsDebugaerFrezent 


kernel32.7C8156D4F 


Count = A ri8B.) 

Buffer = Hnti-cra.tBddadsarc 
ControlID = BBS (36006. 1 
blind = HULL 
GEetOlgitemTextA 
kernel32.7rCc815D4F 


kernel32.7C816D4F 
ntdll.rcs928?38 


s 


> Iess E E 





IsDebuggerPresent 


Como podemos ver en el desensamblador estamos llamando a IsDebuggerPresent, y si 
devuelve *True' saltaremos al CALL de la dirección 4010BC, lo que mostrará nuestro bad boy 


‘Found debugger’. 


http://masteracsi.ual.es/ 





OllyDbg - Anti-crackme.exe - [CPU - main thread, module Anti-cra] 
[e] Fie view Debug Plugins Options 


ex 44) X 


BB4BBHE 
BB4B18B6 
40401049 
BB4B1BBE 
BB4B1BBF 
SEIT 
SS CR 
SEET Ge 
C13: 5L Lae 
66441880 
SS 
SEI 
SS? 
SEET 
BB4B1BDB 
60401900 
0401002 
60401004 
60401009 
BB4B1BDE 
SS 
SEET 
BB4B1BER 
A461 GEE 
Ae4e1 DER 
A04a18FS 
SEET 
BB4BiBFh 
SEIT Ge 
BB4BiBFD 
BB4B1BFE 
40401105 
40401161 
66441102 
4 








Cy 
C2 luna 
BS 11866666 


Loop 
ES 27826808 


eBad24 
30 aagsaamad 
rr 19 
6A BA 
63 rC3B4nmad 
63 PO 


FF35 re3m4una 
ES 010100 


C3 

Es 45616608 
BS Banmpaamad 
SSFS H3 


3r 
3966 40 


| Il 



















Window Help Tools BreakPoint-> 


eje E | > 

LEANE 
1H 

MOL EAR, 1 


E leDebuggerPresent 
TEST AL,AL 


pm 


ROTSC 

PUSH EA 
AUR EAS, EAS 
ROTSC 


SUB EAR, 
CHP EAA, 26616 
















kernels2.rCcSlsD4F 


Count = A Cis.) 

Buffer = Hnti-cra.tBmimnam?r 
ControlID = BBS (3464, ) 
hWnd = HULL 
GetOlgaltemTestA 
kernel32.rC815D4F 


BBS 
PUSH OWORO PTR OS: [46348718] 
POP EAR 






MOL EAS, 2 
CMP EHxs,- 





INC ED 
POP EAR 


JE 
IHC EDI 
AAA 

CHP OWORD PTR 05: CEE:+401,EEP 


kernel32.rCc8156D4F 
ntdll.r/Cc928r738 






i 


Para no entrar en el call IsDebuggerPresent existen varios plugins que nos ayudarán en 
alcanzar nuestro objetivo. Podemos utilizar por ejemplo el plugin OllyAdvanced. Una vez 
seleccionado OllyAdvanced hacemos clic en la pestaña “Anti-Debug 2" y marcamos la casilla 
IsDebuggerPresent. De esta forma cualquier CALL a IsDebuggerPresent devolverá “False”. 
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Olly Advanced 1.27 9 


Buugfikes | Additional Options | 
Additional Option: 2 | 
Anti-Debug | Anti-D'ebug 2 


Debug Bits 


Iw IsDebuggerPresent 


MitGlobalFlag [nat recommended] 
[ HeapFlags 
[ ForceFlage 


4nt-ROTSC [Drreer-based) 
. Enable 


C Method! 












C Method 2 


Protected Application Environment 


[  SuspendThread 
[ Blacklnput 


Other 
[ Break on TLS Callback 





[| Antivanti Hardware BP 


Ok, | Cancel | About 





También podemos deshabilitarlo manualmente, parcheando el resultado de la 
comprobación de IsDebuggerPresent en la dirección 4010B9. Hacemos clic con el botón 
derecho sobre la instrucción JNZ y seleccionamos “Binary” -> “Fill with NOP’ s”: 





- [CPU - main thread, module Anti-cra] 
[e] Fie view Debug Plugins Options Window Help Tools 





[| 44| a j 


Oo, ES Ecg 
Hagha ||. ES 72006000 
BadaimsE|p- EB 92 

BE4IG1BAR |} > Be mmaanaan 


i 















MOL EAs, H 


























aa4misns ||. Co LERUE 
Bg4siaone ||. Ce 1686 RETA 16 
amamisno || > Es 61866060 MOL EAX, 1 
Baa4mianE |. Ca LEAWE 
aa4mianr|L. C2 1880 18 
amdmisE2z| $ ES Zepp 

ARABE? | .  84ca8 TEST AL,AL 
AR4A1BBS ag HOP 
aadaiBBA ag HOP 
Baa4miaBB| . C3 

anmamisgc| > ES 72810000 

Bn4dainci| s BFS1 ROTSC 
agjdaiaca3| . Se PUSH EAM 
Ba4mnianc4 | . 33CA HOR ERHX,ERX 
Ba4miaCcé | . DES) RDTSC 
amndaince| . 260424 SUB EAH, 
AG4618CE| . 20 amzaaonaa CHP EAH, 2006 
Aa64alBD06 | .-« Fr 19 JA 
aadaiBoz | . 6A an PUSH aa 
anmdamisnp4| . 68 7C204060 FUSH 
anmamisnpo| . 68 Beapanaa PUSH BEES 
amamisBnE| . FF3235 7223046804 

@G46i16E4|) . ES Disisesa 

ARABES | . 58 POP EA} 
Ba4mniaEn| . CS 


BE4SH1BEB A ES 43016000 
BESH1BFe) $ Ba B2aamaan 
BadalimgE5 | . S3FS 63 
BadalimEF2| .- 74 Be 
BadalmBFH| . 75 BE 
BadalimprFC]| > 41 


4 


MOL EAS, 2 
CMP EA, => 


INC EC 





BreakPoint- > 


ZH ad A e 













PUSH DWORD PTR DS:r4838781 
CALL 





CIsDebuaagerFrezent 


kernels2.rCcSlsD4F 


Count = A Cis.) 

Buffer = Hnti-cra.thHBmimamr 
ControlID = BBS (3464, ) 
blind = HULL 
GEetOlLgitemTextA 
kernel32.rC815D4F 
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e 


Guardamos el parche como Anti-crackme2.exe 








oO B 






















Documentos 


File C: Dog em 
Jerez 
TEE recientes 
BEBEE4EA 
DOE 
Dat. 
Dat i 
Da 2 
Dat A 
Bina 
BEEBES4C5 
BEBEB4CE 
amas | + 
aaaiad4n2 
Dal 
Dal 
BEEBeE4+0E 
BEEBES4E4 
Dat? 
BEEBE4SEA 
DOE 
lisis) 
TBIGDS 
He46180E 
Dap OEA 
Dap lOE 
jaghli HEA 
HE4616EB 
66441 aFA 
jagal EFS 





E scritaria 


Mis documentos 


Ea TOS enm TL OS em m + 05 rà C» eo rm ea mre sois 









Mi PC 












sg dry" m m- m- m" 








Vamos a cargar este nuevo binario en Olly para continuar. Ponemos un Breakpoint en la 
dirección 401080, que coincide con la devolución de llamada principal, DlgProc, pero después 
del códig del mensajes INITDIALOG. Poniendo nuestro Breakpoint en este lugar nos salvará de 
tener que pulsar F9 varias veces cuando la aplicación se carge por primera vez, ya que la 
devolución de llamada será llamada cada vez que aparece el mensaje de Windows. El unico 
mensaje que nos preocupa ahora mismo es el mensaje WM, COMMAND para cuando pulsemos 
el botón “Check it" y nuestro Breakpoint está justo al comienzo: 


TR Breakpointsethere ERESEETTEEREE 





| COMMAND happens when a buti 


Make sure it's the correct button 


Save the handle to the w 


Clear the badboy flag 


CheckTiming 


callthe RDSTSC code 
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File View Dek d 
Paused [E Guardar en: [E Target | de E 





wc 
Mis sitios Acal Hombre: JAnti-crackme?.exel * | 
Tipo: | Executable file [* exe] M | Cancelar | 


A 


Cuando pulsamos F9 por primer vez, aparecera la pantalla principal preguntando por el 
serial. Introducimos cualquier serial y hacemos clic en el botón “Check it". Olly se detendra en 
nuestro Breakpoint. 


AE 


BreakPoint- = 
v vu dl > 


| 18] 


Fie View Debug Plugins Window Help Tools 


[| 44| X 


CPU - main thread, module Anti-cra 


amasgime2 |} > 17D BC 116166606 | CHP 
BA461660 || «e 75 34 


Options 
b- | Il 




















DAHL 860 
naqal DEE 
DAHL D 
66441075 
DApL DC 
DAT DCH 
BAS DE 






66: 
r5 









20 BRB 
1E 










MOLI EAS, 
MOLI ED, 
SHR EDA, 18 
OR Da, Da 


CMP Ax, DP? 
HE 






















m- 


. BE45 DO HOLD EAR, 
46401433 . AS v22D4DDp HOU DWORD PTRA OS: C4630781, EA 
46401435 . SSCH AUR EAs, EAS 
BA4616548 . AS 26344666 HOW DWORD PIR DS: [46343671,EAx 
HA46165F . ES 20ġ6ġğġ0ğğ 
AA4h1 aad . Es Bram 
46401439 , ES F-20808 
HA46169E w EB H3 
4646146 » ES BARBARA MOL EA, & 
HA4616A5 . L9 LEAWE 
DAD TL HAE . C2 1666 15 
46401 DOG > BS aim MOL EAR, 1 
HA4616AE 2 EA LEALE 
öä4hi HAF . C2 16466 15 
Haşa HE (PS ES 274825666 C l=<DebuagerPresent 
46401HAB7 . 84CH TEST AL,AL 
a64A1HaB3 ag HOP 
DAD i HBA ag MOP 
448441 HBE C3 
46441 HBC ES DB ES 
468441 HAB0 re DB ?2 CHAR "r" 
HA4616B6E Al DB mi 
464] HBF He DB Be 


4 


e 


Cuando pulsamso el botón “Check it", se envía un mensaje WM_COMMAND a través 


de la devolución de llamada DlgProc. Lo primero que haremos es comprobar si el ID coincide 
con el ID de nuestro botón y como solo hay un botón, coincidirán. Lo siguiente es guardar el 
controlador de la ventana en una variable global para poder acceder desde otra funciones. 
También resetearemos la bandera del bad boy devuelta a zero, y después haremos una llamada 
al método CheckTiming. 
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Capitulo 8 


EJERCICIOS COMPLEMENTARIOS 





8.1 Otra forma de poner un parche 


En este ejercicio vamos a utilizar un programa real que podemos descargar de 
http://www.autohideip.com/. Trataremos de crackear el esquema de registro de la aplicación que 
tiene un periode de prueba de 1 día. El nag correspondiente comprobará el serial con el servidor 
pero solo si se introduce un serial. 


Una vez instalado el programa hacemos doble clic para ejecutarlo. Nos sale el siguiente 
mensaje: 
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sr Auto Hide IP ix] 


Access more IP addresses 

Get IP hidden anytime with no limits 
Choose IPs from more countries 
Automatically IP changes at any frequency 
Faster surfing speed 


Free upgrades and lifetime support 
30-Day Money Back Guarantee 


Purchase Auto Hide IP right now! 





Buy Noa | | Enter SN | | Try 


Hacemos clic en “Enter SN" e introducimos un serial cualquiera: 











r 


5 Enter SN ix 


You could find your SM in the Confirmation Email which is sent to wou 
automatically after your payment. 


SN: 21212421212 











Need a SN? Buy Auto Hide IP 


Sino nos hemos desconectado de Internet al pulsar “Ok” nos sale el siguiente mensaje: 
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E d is not valid 








Hacemos clic en “Back” y volvemos a realizar la misma operación, pero esta vez desconectados 
de internet. Nos sale el siguiente mensaje: 


p 








¡ Podemos registrar la aplicación sin estar conectados a internet ! Intentemoslo haciendo clic en 
66 KK 
Manual", 





Para obtener el serial correcto debemos enviar los datos de nuestro equipo a la empresa. 
Probablemente utilizarán esta información para calcular el código que debemos introducir. 
Vamos instroducir un serial cualquiera y hacemos clic en “Ok”: 
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& Enter SN 1x] 
‘Please send the Machine Data to 
supporti&bautohideip.com 


4 After you enter the Unlock Code sve send you, you could 
«successfully activate Auto Hide IP manually. 





Machine Data D s0000000040DE40C 4050502061 21212121212] | [egy = 
| Auto Hide IP Ed 





| 
| 





“Unlock Code 1121212121212 | : 
Ee Emm ES Invalid Unlock Data- 





Cema ] 














Hemos llegado hasta nuestro *bad boy" sin estar conectados a internet. 


Abrimos Olly y cagamos la aplicación. Antes de cargarse nos advierte de que el punto 
de entrada está fuera del código. 


Entry Point Alert - ul xl 


A Module 'AubaHide' has entry point outside the code (as specified in the PE header}, Maybe this File is self-extracting or selF-madiPying. Please keep iE in mind when 


setting breakpoints! 
Aceptar | 


Hacemos clic en “Aceptar” y la aplicación termina de cargarse: 











- [CPU - main thread, module AutoHid e m] -O| x 
[e] Fie View Debug Plugins Options Window Help Tools BreakPoint- -|a| x 


44 XX] KI S säll a 


EE PUSH EEP 

SEEC MOL ERP, ESP 

8309 ER ADO ESP,-16 
SIS EE BS &45FeéEnn MOL EAM 
SIS EE Es E4s301FF 
Bae6F2344 Es 1FSEFEFF 
Bae6r2242 e4cnm TEST AL,AL 
aaerae4B 74 12 JE 
aanerzs4n 5615 DSD36F OB | MOL EDX, DWORD PTR D5:reFD3D81 AutoHide. DO 2416 
DEE S952 3309 HOR ECH, ECH 
AREFZ2955 Al B4apeEad MOL EA», DWORD PTR OS: [6E4D64] 
BREFZ2350 ES 3101FEFF 
ARÉFZ2395F ES SBS3CD1FF 
Bae6rF2364 ADO BYTE PTR DS:LERZI,RL 
aae6r236s8 ADO BYTE PTR DS: [EA*%], AL 
DOE 2969 ADO BYTE PTR OS: [EA%], AL 
ABÉFZ36A ADO BYTE PTR DS: [EA%], AL 
DEE Zoe ADD BYTE PTR OS: EDIT, AL 
AG6F296E ADO BYTE PTR OS: [EA%], AL 
aaerzasra BYTE : [ERE], AL 
AREFZ972 EWTE : [EA], AL 
AREF23974 EWTE : [ERE], AL 
SIS EK BYTE : [EA], AL 
SIS EK BYTE : [EA], AL 
ABÉFZ37A EWTE : [EA], AL 
Baer2src BYTE : [ERE], AL 
SIS EK BYTE : [ERE], AL 
SIS EE EWTE : [ERE], DL 
AREFZ2982 EWTE : [EA], AL 
DOG 204 BYTE : [ERE], DL 
DOC S926 BYTE : [EA], DL 
AREF2988 EWTE : [ERE], DL 
ARBRE 200 EWTE 2: [FA!1. Al 





A primera vista podemos concluir que no se trata de un binario “normal”. Si buscamos 
por cadenas de texto, intermodular calls o call stack, vemos que no obtenemos ninguna 
información de utilidad. Si cargamos la aplicación en ExeInfoPE veremos el por qué: 
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aOR: 


E; |Exeinfo PE - ver.0.0.3.0 by A.5.L- 617 sign 2011.07.29 215] x] 


File | AutoHidelP.exe mme]. LG 
Entry Point ` [002F2934 loo =) EP Section: [itext le] Es] seme 


File Offset ` [DBSF1334 First Bytes; JEE Së ECan -| s] Plua | 
Linker Info: [2/25 SubSystem ` [windows GUI | About] | 
File Size : [oos41400h =| Cyerlay | NG oonadona Options | 


Image is 32bit executable RES/OVL : 9 / 0 % Pre? Exit | 
[Borland Delphi! ¿009-2010 - wi. borland, com 





S 


Lamer Info - Help Hint - Unpack info 


Orns, 


mm packed , try disassemble OllyDbg t www ollydbg.de ) or WD32dsm A 


Estamos ante un programa “Borland Delphi’. Para seguir analizando el binario, cargaremos el 


programa en DeDe: 


{Dede 3.50.02 (c) 1999-2002 by DaFixer 


File Dumpers Tools Options 


[E Archivos de programa*&utaHidelP*AuteHi e B Process | 


AutoHidelP 





| Classes Info | Units Info | Forms | Procedures | Project | Esports | 








Class Name fUnitMame  [SefPre — |DFMüfset | 4| —Version:cunknown version 
we 01 UUSESSS ` (UU Unit List [from PACKAGEINFO] 
sé ‘Oe 0042BDEÉÉE — DODODOCE ABAccessibility 

RB oo40cars ` OOO00000 AccChl 

BR DO5ES748 ` 00000000 AcIAPI 

SP 00548968 00000000 o 

we Däi 00489FDC 00000000 ActnCtrls 

BAI D068£630— 00000000 ActnList 

ET DO4AADFS ` 00000000 A AR 

sé 2 00430895C 00000000 D tee 

sé 00411868  pooo0000 AxCtrls 

A 00444420  DODDDDDD dic M 

sé Ap 00411650 0000000 Buttons 

sé cp 00437100 00000000 Character 

wä E DD4D55EC 00000000 Geet 

wé: DOSES380 00000 GE 

IR 005E8830 00000000 Classes 

wé 3 DOSESFCE 00000000 Bu ol ct org 
wi, :36 00418844 — 00000000 d 

` A inflate blocks. state.:1.:1 00515578 OOOOO000 ELForm 

` A :inflate blocks state.:1.:2 OOS155F8 ` 00000000 Clipbrd 

CH :inflate_codes_state.:1.:1 00515310 ` 00000000 Geer 

` A cinflate_ codes state.:1.:2 00515360 UOUUUUUU CLMulti_LangLan 

CA cinternal_state.:1.:1 00515844 00000000 CLS ettings 

Ch cintlate_blocks_state.:1 00515658  ODDDDDDD Ge SEH 

CP inflate codes state.:1 0015360 D0000000 CLUpdateF arm 

CA intemal state.:1 00575890  ooOo00000 CL ebB anner 

sé. -TApplication.:1 00409944 ` 00000000 rm 














"n 


Después de hacer clic en “Process” y unas cuantas advertencias de errores más tarde, 
por fin aparece la pantalla principal. No obstante si seleccionamos las pestañas “Forms” y 
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‘Procedures’ veremos campos vacios. Utilizando esta herramienta tampoco nos ayuda de forma 
significativa. 


Llegado a ese punto vamos a introducir una herramienta nueva. Abrimos internet y 
descargamos PExplorerR6. Una vez descargado cargamos nuestra aplicación: 


PExplorerR6 















Z PE Explorer - Ch Archivos de programa AutoHidelP* AutoHidelP.exe HT = z [mJ xj 
File View Toole Help 


A ¿a HOES) Shwe Ae| onge 
d NFO 





00001 000h 





[Machine | 3568 ed "ET 


Number of Sections Cam File Alignment OUOO0Z00h 

Time Date Stamp A466 DF A Bez 04720143 0320.47 Operating System Version ADOOODOSA DU 

Pointer to Symbol T able CODO CR Image Yersion DOOR UU 
Number of Symbols OOOO0000h Subsystem Version DOS 5. 

Size of Optional Header DUE Oh Wine Version Value DIOU Reserved 
Characteristics DIEN p" Size of Image O039E 00h ar 92896 bytes 
Magic UI Uh PEs Size of Headers DOOR 

Linker Version 1902h 2.20 Checksum OOOOC000K 

Size of Code O02F1000h Subsystem DO Wire GUI 
Size of Initialised Data 00040000 Dll Characteristics OO00h 

Size of Uninitialized Data OOOOO000h Size of Stack Reserve 007 00000h 

Address of Entry Point OOBF 29344 Size of Stack Commit OOO04000h 

Base of Code 00007 000 Size of Heap Reserve 007 OOU00h 

Base of Data O02F 3000h Size of Heap Commit 20001 OO 

Image Base OO400000h Loader Flags OOOQOO000h Obsolete 


Number of Data Directories OO00007 Oh 


| Far Help, press F1 E 


Dentro del menú seleccionamos “View” -> “Resources”: 
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File iz Took Help 











[^ - CH e Headers Info Ctrl+H 

Data Directories Ctrl«D 

Section Headers Ctrl+T 

Fugen CHE 

Import Ctrl+l 

Delay Import Liber 

Suthenticode Signature — Ctrl 

Debug Info Ctrl+B 

Relocations Ctrl+L 

Cil 
Customize... 

OOO 4.0000 


Size of Initialized Data 
| 
|! 
| 
| 


Size of Uninitialized Data QODODODOR 
Address of Entry Point UU 2934h 
Base of Code 00001 000h 
Base of Data O02F 3000h 
Image Base OO400000h 





— | Real Image Checksum: 


| ez 


liption 


2/2014. 03:20:47 


00393585 





PE Explorer - C Archivos O A tt. exe 





Field Name. 

section Alignment 

File Alignment | 
Operating System Version 
Image Version 
Subsystem Version 
Winged version Value 
Size of Image 

Size of Headers 
Checksum 

Subsystem ` 

Dll Characteristics 

Size of Stack Reserve 
Size af Stack Commit 
Size of Heap Reserve 
Size of Heap Commit 
Loader Flags 


Number of Data Directories 


| For Help. press F1 ] 


Aparece la pantalla del Resource Editor: 





* PE Explorer - C: Archivos de programa AutoHidelP* AutoHidelP.exe 


File View Toole Help 


E*- Za HH Hee | 





[+] 


H-[-1 Bitmap 

-03 leen Entry 
-03 Dialog 

-[4 String 

-03 AC Data 

— "` Group Cursor 
-0 Group Icon 
-[- Version 

|) Manifest 


FG E EI GR EET EET EET EE 


| For Help; press E 


a gë E 









S14) | Se D. ART 


| Data Value | Description 


00007 DOR 
00000200 
OOOOO005h 
OOOOOO00h 
BOO 
OOOOO000h 
DOSE 000h 
00000400 
OOOOO000h 
0002 

DOC 

007 O0000h 
Banana 
001 00000h 
00007 000h 
OOOOUO00h 
OOO0001 Oh 


aje| amm Se | © 


=l0l x! 


Reserved 
3792096 bytes 


Wine GUI 


Obsolete 


s El 


ini x| 
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Sabemos que en las carpetas “Dialog” y “String” no vamos a encontrar nada, por lo que 
empezamos analizar la carpeta RC Data. Desplegamos la carpeta y aquí sí aparecen unos 
cuantos formularios: 


PE Explorer - C^ Archivos de programa AutoHidelP" AutoHidelP.exe R B E ¡af xj 





Ele View Tools Help 
O-da|b|emiB|-ccxes le | 39 X *|v 
RESOURCE EDITOR 




















2 Dialog 
{4 String 


|o 5] CHARTABLE 

| DVCLAL 

$ dus a PACKAGEINFO 

en TFRMCHOOSEIPCOUNTRY 
me TFRMCLABOUTFORM 

| Bug! TFRMCLACTIVATEFORM 


Bg! TFRMCLSPLASHFOBM ` 
Egg! TFRMCLTRIALNOTIFYFORM 
Egg! TFRMCLUPDATEFDORM 
mea TFRMFLASHFORM 
Egg! TFRMMAIN ` 
Ey TFRMSETTINGS 
| Bg TFRMTESTING 
BL Group Cursor 
Ge: Group Icon 
ff Version si 


Ha Manifest 





| For Help, press F1 | P 


Seleccionamos “ACTIVATEFORM” y desplegamos la pestaña: 
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3 PE Explorer - 





File Miew Tools Help 


^-2à|W|e €i | 
RESOURCE EDITOR 


T] 9E ig 


C: Archivos de programa; AutoHidelP* AutaHideIP.exe 


10 lx] 


la | GE Ta Te | 





SRE Dialog 
II: String 
` [n 



















¿$ PACKAGEINFO 
e TFRMCHOOSEIPCOUNT H 
Ei GER TFRMCLABOUTFORM 
E ar TFRMCLACTIVATEFORM 
E frmCLActivateForm: TfrmCL&ctivate 
BE ABl ooActive: TspSkinPageControl 
er pilogo: TspSkinPanel 
i iem A spDunamicSkinForml: TspDyne 
cA Timerl: TTimer 
ool smi: TELMultiLang 
e clfrmi: TCLFom 
be : sdDownload: TSingleD ownload 
B a TFRMCLSPLASHFORM 
ee! TERM TRIAL MOTI FOR kA 









PE Explorer - 





File View Tools Help 
A-28b|b| oes | 


e 


eo 


PACKAGEINFO 
CS TFRMCHOOSEIPCOUNT RY 
: SE TFRMCLABOUT FORM 
ES E TFRMCLACTIVATEFORM 
Er fas] | Tomm LActyateFormn: TfrmCLActiyvateForm 
ER: pcActive: TspSkinPageContral 
e telnputSN: TspSkinT abSheet 
Eg alil tsProcess: TspSkinT abSheet 
E JA tsFinished: TspSkinT abSheet 
E alil tsNetEror TspSkinTabSheet 
Eg alil SS MEror: TspSkinT abSheet 
a tshctiveMew: TspSkinT abSheet 


+ 
= CS tsReActve: TspSkinT abSheet 


[elf nes eg 


i RO MUS OT OMEN TepDynamicSkinForm 
: SÉ: Timer]: T Timer 

coal smi: TCLMultiLang 

j E rItrmd- TTT Farra 


| Far Help, press Fl 


C: Archivos de a A Ib-eue 


«ini xj 


ale | 3 Se Ge e. 
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Vemos otra pestaña interesante; “tsManually” ¿Estará aquí el formulario para la 
activación manual del programa? Desplegamos la pestaña: 











Z PE Explorer - E Archivos de programa AutoHidelP* AutoHideIP.exe i 8 = D [mi x] 





File View Tools Help 


>. Ael hlape] Se ee ti we | 4422 8 | © 





RESOURCE EDITOR 
«TE |S] AE E alte 


Ed tshletError: TspSkinTabSheet a 
e AB teSNEnor TspSkinTabSheet 
Ed teActiveNew: TspSkinT abSheet 
e AB tsRecctive: TspSkinT abSheet 
See tsManually: TspSkinT abSheet 
f] DesionSize 
-A IbUnLockCode: TspSkinStdLabel 
-af IbMachineD ata: TspSkinStdLabel 
"Aë Ibid anuallylnfa: TepSkinT extLabel 
E DE mail anully: T spSkinLinkL abel 
E btnOk Manually: T spSkinButtan 
Af btnCancelM anully: T spSkinButtan 
-a smMCID: TspSkinE dit 
-A smCode: TspSkin dit 
«Y btnCopuld acD ata: TepSkinButton 
EE pnLaga: TspSkinP'ane 
-ap spDunamicSkinFarml: TspDiunamicSkinF arm 
a Timerl: TTimer 
a sm: TCLMultiLang 
` A liri: TII Form 














| For Help, press F1 | a 


Podemos ver todos los controles del formulario para la activación manual del programa; 
cuatro etiquetas y dos botones. Seleccionamos el primer botón “btnOKManually” y en la parte 
derecha de la pantalla bajamos hasta el final: 
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=? PE Explorer - C: Archivos de programa‘ AutoHideIP AutoHideIP.exe 


=o] x] 





Ele. Mea Tools Help 


> 28s |h | aes] 


fl | @ ea Sw | e 


"ée. 




























RESOURCE EDITOR. 
T6 | x 3|leo|»s|mngkes, 
| m oH Ea tsNetError: TspSkinT abSheet E  Proparties/Events | Value a] 
DE ESMEror TspSkinT abSheet Defaul'wi... t 
ERT, tekctiveNew: TspSkinT abSheet Detaille 0 
fal tsFieActive: TspSkinT abSheet Imagelnd.. -1 
Dä tsManually TspSkinT abSheet AlwaysSh.... False 
PU Ee : UseSking.... True 
Aë IblinLackCade: TspSkinStdLabel 
E e e UseSkinF... True 
A IbMachineD ata: TspSkinStdLabel 
HepeatM... False 
SÉ, lbManuallylnto: TspSkinT extLabel 
E , Ep Hepeatlnt... 100 
E DE mal anullu: T spSkinLinkL abel 
E Arti Manuel: TspSkinButton AllowAllUp False 
4 btnCancelManully: TspSkinButton TabStop ` True 
~-a smMCID: TspSkinE di CanFocus... True 
Jil smCode: TspSkinE dit Down False 
Ls E btnCopyMacData: T spSkinButton lrouplnd.. 0 
ER, pnLage: TspSkinPanel Caption DR. 
«yl spDynamicSkinFornl: TspDunamicSkinF orm Mumlslephs 1 
^o Timerl: TTimer Spacing 1 
ool eml: TCLMultiLang el @ OnClick ^ btnüKManuallyClizk 
Lal. Alfred TE) Farm = m i l = 









| For Help. press F1 


En la última línea aparece el evento “OnClick” = btnOKManuallyClick, que será 
llamado tampronto se haga clic en el botón “Manual”. Como sabemos que Delphi utiliza esos 
nombres para llamar eventos, solo tendremos que buscar el nombre del evento en el programa. 
Para ello volvemos a Olly, cargamos el programa y abrimos la ventana de la memoria: 




























- [Memory map] = [mi xj 

IM] File View Debug Plugins Options Window Help Tools BreakPoint-> -lej x| 
Seiédsi Kl "Vv DE] ad] : 

Address [Size Owner Section | Contains Type Access Initial a 
46414464! 66001 ERES Priv Dop21Dp4 Fl 
Er RRR) HHHH i DD Priv Bmzladg4 FE Eh 
55555151510 Ere E DD Priv 64214644 FE Fl 
468136066 | 6600164 Priv 6421104 RAW Guarded Hi 
44132666 | mamada stack of main thread Priv BRbS1 lad Rll Guarded Rl 
44144444 malia Map | 6464142 F F 
4681564400 | mali Hap á Böäd4lääz F F 
44015440460 | maire Priv Bela FE FE 
as malim Priv 641404 Hi Hi 
EE EDD: DÉIDD2DD Map 8eb41 aig FE E 
4622344480 | 6001 et Map  &BaBddilan2 F F 
AZARAE) DEI 2UIOD Hap ` Da LD F F 
AREA | 66641066 Hap | 6441402 H H 
ARAS | FARE Hap ` 66414602 R R 
448344640460 | maga gm Map Bain F F 
FES EEE | HHH been Map Badia F F 
FRSARRAA | mamas Map  BmaBddlan F F 
FRSBRRRS| maed i HHH Priv Bela FE FE 
ARSCARAA| paie ae Priv Be? 1 aS Hu Hu 
55 maia Priv 64214044 Hi Hi 
DE GD: made Hap 8eb41 bee F F 
DE GD: maiz Hap 6441602 H E 
4646444646 | HHHH d 868) AutoHide FE header Imag 41041642 F RWE 
Ead leg B62F4664| AutoHide |.test code Imag 410401642 F RWE 
AREF 10| GOppop20ppp: AutoHide |. itest SFA. code Imag 41041642 Fi RWE 
AREF SERS | BRREBAGA | RutoHide |. data data Imag 414461642 F RWE 
DOGEEDoo: AARP RRR! AutoHide | . bss Imag Dloplopz R RWE 
DCD DD: HHHOH | AutoHide |.idata imports Imag 4140461642 F RWE 
Har EARS | 66661666! AutoHide | .didata Imag 410461642 F RWE 
AAT EBA) FEELERS!) AutoHide |.tls Imag Bill F RWE 
AEP ECHR) 66661666! AutoHide | .rdata Imag 41041642 F RWE 
D d EDR) FRASER) AutoHide | .reloc re Locat tons Imag 4104142 R RWE SS 
DÉI dap! BRABSSAGBA| AutoHide | .rsrc resources Imag 4160401462 RE RWE of 
4 p 
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Hacemos clic con el botón derecho y seleccionamos “search”: 













- [Memory map] = ¡Oj xj 
[M] Fie View Debug Plugins Options Window Help Tools BreakPoint-> - [8| x| 
ee dd X| ki w kal al oi : 
Address | Size Owner Section | Contains Type Access Initial a 
Baias 66601506 Priv 666215004 Ri Ri 
Bam 66601506 i Priv BAB21664 Fil Fil 
Elelëieideiclfcieteidaetch Actualize Priv 60021904 Fil Fil 
60138096! 60001504 l Priv 06621104 Rll Guarded |El 
66130096! 6660460 Dump in CPU Priv 06621104 Rll Guarded |El 
60146096! GBA Map Bed ieee R R 
qd ro MEE — d ho ^ 
rri 
AB250000| ARGASABA Ohh — [brio mseeslsB4 [Fl Rl 
GS BEBO | FBG 1600 vi gaus |R" Ro 
= ES ap 
Baznaaaa| aaaspaaa Set break-on-access Fe Map 466841902 R R 
EERE TTT Mop Saaz |R i 
l En 
SIE ` Se menor breaipont on ure. me Nc |k : 
Seb memory breakpaoink on write ap 
BOSABOGA| aaaacaaaa Bj kp Map Bed 1802 F R 
BOSEBOGA| aaa aad Set access k Priv 66621064 Ri Fil 
ABSCHAGE| aaa aaa Priv 66621504 Fell Fil 
Bap aaaaaaaa Priv 66621004 Fil Fil 
BOSEBOGA| GRAZ Allocate Memory Map Ba641662 Ri R 
para ABRAZA Map  tmBaB4lan2 R R 
B646B0GA| Goppp1 000 Durch Free Memory Imag 61601962 R RWE 
60481066 | G62FA666| AutoH Imag 61061002 R RIE 
Deeg) Seeseeeg | Pu r oM Ina3 gieoiees |R RIJE 
uto Mag 
AE e pp a pan cn m e 
uto mad 
BerBBaBa oo) 00) oucoh Load dumped memory Imag B1001602 R RWE 
ms po E cn e 
uta F ma3 
doroDada asessona | Auto COPY to clipboard * limas aiggieaz |R RIE ^ 
00745000| BBBSS060| AutoH Sort by » [Imag 61601002 R RWE a^ 
4 | + 


Appearance + 


Command 


En el campo ASCII introducimos el nombre del evento: 


x 
ven [btnOKManually@lick —— —— — — 


UNICODE | 


HEX +12 





62 74 GE 4F 4B 4D 61 6E 75 61 60 66 
79 43 6C 69 63 &B 


[v Entire block 


. Case sensitive 


Hacemos clic en “OK”, lo que nos lleva ver el resultado en la ventana dump: 


<i>] 
Cancel | 
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Dump - AutoHide:.text 00401000..006FOFFF 


HHE2FFSH| 62 r4 5E zm 4B 4D 61 6E = 61 GL 
paez aC 18 63 ar 


Gett a 6S Be BA 46 GE r2 60 43 v2 65 


De, 2EEDCHg A 63 RR 15 6C 62 42/75 vo dl 
ARBSFFES| 45 ga v2 GE rz 43 6C 69 63 6B 1H 
Hae2zFFFH|138 6C 62 48/60 61 6% 1 
FRSBSERRS| EL ew 635 eB IB 66 46 1C 63 be 14 
BR6SERI1S|6E GL GE 61 64 44 GE GE 65 53 r4 
FRESHERS) BA SS 1B 65 BH BF ?3 64 44 GE rr 
HRBSHRSHh/ 46 12 72 BF) Pe 1A 66 55 A] 63 DR 62 
ARB SER46 Al 63 DD 62 Be Fd FF DE B1 63 DR 62 
DDR 63 BA 62 m Fd FF 68 B2 63 DR 62 
Doc AZ 63 ma 62 66 F4 FF Fë Be 63 Bn 62 
öper LBS 63 mg 62 66 Fd FF S1 H3 63 DR 62 
ARBSERSH LAS 63 BA 62 be Fd FF AB A4 63 DR 62 
ARBSARSE| A4 63 mnm 62 be Fd FF 94d Dé 63 mna ez 
FRSBSERAR| Be 63 mm 62 Be Fd FF 1F 65 63 D El 
ARB SERBS DE 63 ma 62 md Fd FF A4 HE 63 mnm 62 









Ge SEET 44 6 4 61 43 6C 69 63 BB 19 ap 
BEAB2FFSAO 4F 4B 40 61 GE 75 

Dpe2FEFEOR 1 

Baaes2FFHa Gd 43 

aas2FFBB GD 65 r2 31 54 69 60 65 r2 
BEAB2FFCO 46 GE r2 60 43 ?2 65 61 
Bee2FFOR 15 GL 62 42 75 79 41 63 
BEEZFFER 43 GL 

De FEEF 

De SHEE 


48 1L 63 HH 1 
GE 6E 65 53 74 
a ra 64 44 EF vr 


Bases 18 
De 3d 





























JT imeriTimers4. 


- [P] xj 
btnüKManualluEL i | 


CEt.. ko. #6tn0KF i 
nishedElick+, Ike 


H 


kc..FormCreatzeL. 
n*c.*IlbBuyHct Lue 
Error l ick+,. 5+0. 
II lbEmai LAanu b byt 
lick+. HG, TlzdDiau 
nloadDone Str inga 
Ato. pocius 


Error*.*üc b. 
BHc.b.Tl r&Bc.b. 
Bc.b.T hc. bD. 
c.b. 1 eles b. 
wc.b.T uwc.b. 
WC, D, J*C. Da 
$c.b.T ú+c.b. 
$-c.b.T Fic.b. 
£c.b.T Aéc.b,. 


= EE EEE 


H 
-= 
LE 
H 


` 
b 


p A 


- ini x! 


¿$e (btnCopytac y 
[lat aCLick4. 
btnükhHanualluCclt 
Cck4t..kc.*btnükFL 
nishedElick*+, Teo 
J,STinerliTimer4.H 
kc..FormCreaterL. 
n*c.xIlbBuuBct Lue 
Errorllick+, +c, 
I bEmail lManu lly 
lick+. Hec. Ted0ow 
n lLoadDoneStr inga 


xc.t 


(Sto, XsdDoun load 
u | 


Higgs 3d 3n Error*.MBc.h.1 

De 20940 Bc.b.T iBc.b.T s 
De 2090 c.b. T hüc., B.T + 
5535/5115) Bc.b.T +Bc.b.1 4 
5535151515) wc.b.T uwc.b. T E 
Bassa wc.b.T a*c.b.T "Tl 
HG 20920 *c.b. T ö#c. D.T r 





Y en little endian: 630F20. Busquemos la dirección en la ventana de desensamblaje: 
























OoOo LI Me xj 
File View Debug Plugins Options Window Help Tools BreakPoint- = 
Aa Kl + SW a : 
CPU - main thread, module AutoHide - [nm] > 
passo ea IP. 55 FUSH EBP m 
Ba52a8F21||. SBEC HOU EBP,ESP 
ARG SAP 22 60 BB PUSH & 
ARB SAP SS 60 BB PUSH o 
Baeser2?||. 6A aes PUSH o 
Bae2er22||. 53 PUSH EEN 
BBESBF2A |). Seog MOL EY, EAM 
BaeSHF2DC ||.  33C0 “OR EAS, EAH 
BBESSBFZE ||. 55 PUSH EBP 
ARS3BFZF ||. 68 PUSH AutoHide. ame3aFEC 
Goe2pE24 ||. 64: EES PUSH DWORD PTR FS: CEA] 
ARBSAP SF 64: 8920 MOL DWORD PTR FS: CEA], ESF 
ARGS 20 60 BB PUSH à 
BAG IAF SC 6A oe PUSH o 
agesmrF3E 5055 FC LEA ED+, ELOCAL. 11 
DOG 2BF41 5693 B4aGzu HOW EAS, DWORD PTR OS: LEBE-3B4] 
GOEN ES 2882F1FF | CALL Aut oH ide. BB64916C 
Bez BB45 FC HOU ERN, 
DOG20DEAE 5t PUSH EAM 
DEER 5055 ES LEA EDX, ELOCAL. 21 
DOG 20EE 5833 10046646! MOL EAS, DWORD PTR OS: CEBM+41C1 
KEE ES BES2F1FF | CALE RutoHide, 90649160 
DOG20EEE 5845 Fa HOU EAS, kernel32. 70816058 Ef 
DOG SBFE1 Ep PUSH EAM 
ARESAFEZ ES 718686804 AutoH ide. 886239508 
DCD SA POP ED kerne 132. 7CS1604F 
DCD Ea FOP EČ! kerne 132. 7081604F 
lae are ES 26640006 AutoHide. 66630394 
ARES3AFEE SA CH TEST AL, AL 
ARESAFFA v T5 ZÉ HZ 
Baeserr2||. en ei PUSH 1 = 
BBSSBFF4 ll. S055 F4 LEA EDX.EEDOCHE:31 
4 + 


Command m | 
| Program entry paint | 
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Nos encontramos en el inicio del evento btnOKManuallyClick. Ponemos un punto de 
ruptura y ejecutamos el programa (realizaremos el análisis sin conexión a internet). 
Introducimos un serial y Olly se detiene en nuestro punto de ruptura: 


S Auto Hide IP [xj 





Enter SM 


You could find your SN in the Confirmation Email which is sent to you 
automatically after your payment. 











Need a SM? Buy Auto Hide IP 












































Enter SN. 





e Enter SN Jl 


Can't connect to Auto Hide IP Activation Server. There are several 
possible reasons: 

Your computer is not connected to the internet. 

Auto Hide IP Activation Server is busy now. 


Please retry. 
o could also click "Manual" to activate Auto Hide IP manually. 


( ey | | Cancel | 
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a Enter SN 





Please send the Machine Data to 
"upportiprautahideip com 





After you enter the Unlock Code we send you, you could. 
successfully activate Auto Hide IP manually. 


Peer EU — LL ——— —P À— Án P 
Machine Data [7 S0000000040DE40C40505020612121212121212) [e 








-ini x| 


File View Debug Plugins Options Window Help Tools BreakPoint-> 





ex dd X| OT 


CPU - main thread, module AutoHide 





w+] HL | > 


PUSH EBF 



























Bae SF 2 1 SBEC MOL EEF, ESP 

BB63BF23 6A Ba PUSH à 

BB63BF25 6A Gë PUSH o 

BB63BF27 6A Gë PUSH & 

Ba63aF 23 ES PUSH EBX 

BBÉSBF=A BEDS HOU EBX,ERX 

De 20E ZC 3308 “OR EAH, EAX 

ABESBF2E 55 PUSH EEF 

AAEZOF ZF 68 BCSFESaa | PUSH 

Ee sarF 34 &4:FF3ü8 PUSH DWORD PTR FS: LEBRZJ 

BB6SBFS7 64: 2920 MOL DWORD PTR FS: IEN), ESP 

ABEÉSBF3A 6A aa PUSH & 

Ba63aF SC 6A maa PUSH A 

ABEÉSBFSE 8055 FC LEA ED, 

B6 SF 4 1 S683 Ed6s666| MOL EAH, DWORD PTR DS:LEEXTSB4] 

Ba6SaF47 ES 2082F1FF | CALL AutoHide 09549160 

BaesaFa4c 8645 FC MOL EAH, 

BaesaFa4rF CA PUSH ERX 

Baesarsa 5055 ES LEA EDX,ELOCHE:21 

ABÉS3BFSS aBs2 1004606| MOL EA, DWORD PTR DS: CEBH+41C] 

AGE sor 54 ES BES2F1FF | CALL AutoH ide Dë 

ABEÉSBFSE 9B45 FS MOL EAH, E] 
ABEÉS3BF61 CA PUSH ERX 

BRAESAFEZ ES 71868694 AutoHide. 66629508 

Bae 3aFer 5H POP ED HutoHide.aGa5sgzs4a8 
ABEÉSBFES 5a POP ECH! AutoH ide. AAEBS34H 
ABEÉSBFES ES 26846606 | CALL AutoH ide. ARÉSC394 
BBEÉSBFEE GACR TEST RL,RL 

Baeaar TE 75 26 

Ba63aF r2 6A Bi PUSH 1 = 
EE &eDE5 F4 LEA EDX. (locales 

4 + 


Command T | 
| Break point at &utaHide. O0630F 20 | 


Empezamos a ejecutar el código linea por línea pulsando F8. En la dirección 630F4F se 
almacena nuestro serial en EA X: 
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- [CPU - main thread, module AutoHide] 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 









EA ST AN E | ai |? 

























SSF 2 E r FUSH EEF a | Registers FPU] — 
SES EEN . SBEC HOJ ERR. ESP EAS PAI1RBAS2AE UMICDODE]"12121212121212" 
HRESAFZS : 5 PUSH & ECH maman" 
maesmrzb5 6A D PUSH o EDs mama 
mae3mFzr GH Ald PUSH & ERX naF2zFB2n 
mae3mFzs9 53 PUSH EBX ESP AAISFE4A 
mae3mFzH 58605 HOU EES, EAS EBP Op SEA 
HDG2DE zc SSC AUR EAS, EAR ESI niaBge4én 
Hae3mFzE 55 PUSH EBP EDI aaisress 
mnaes3pF ZE 65 BCEFESH | PUSH . 

Hnaes3pmrF34 &343:FF3H PUSH OWORO PTR FS: CEA EIF 8&636F4F AutoHide,. #6636F4F 
Hnae3pFa3r 64: 5926 HOU DWORD PTA FS: CEAS], ESP 






ES @825 S2bit BILFFFFFFFF1 














ABESOF3A 6A op PUSH & 
ae CS BB1B S2bit BLFFFFFFFF) 

EISES EE EA ma PUSH & 

BB63BF3E 2055 FC LEA EDM 55 023 22bit BLFFFFFFFF) 






OS 6623 S2bit BLFFFFFFFF) 


z + ELOCAL. 11 
SESS B463608| MOU EAX, DWORD PTR DS: CEBX+3B4] 





BRESEF 41 






FS BH3B 32bit rFFDEBGBIFFF] 










CD-uwdnr mco] 
AA AA rc n 







BB638F47 ES 2082F1FF 

HMB SEP E a 

SE, SR — LastErr ERROR SUCCESS (89949949) 

digi i EE ee MOL EA, DWORD PTR OS: CEBK+41C] EFL 46866246 (HO,NE,E,BE,NS,PE,GE,LE) 
630F59 || . ES BESZ CALL RutcHide age4516c STO empty -UNORM Féda BaaBa2E BBBBGBIB 

eaesarel |: Se "" HS eme STi empty -UNORM S852 TFFDEBBB BanlaFa3a 

ooezorez ||. Es 71260000 EAM RutoHids:BBesssps US Ru iSc CARA E 

BE ME eee mm Fu STS empty T.512857662819253543380e-2585 

aoe sOreR OBS POP ECX | ST4 empty -6.25325rHiBH938494566178e-3714 

maesares ||: ES 26840006 RutoHide.BB63C394 zu ue mos 

Bae3aFeE ||. Garg TEST AL, AL 


anesarra || iv FS 28 ST? empty EL) ELLE een Cae 


HF TI a ZDI 

maesaFv2||. ep ai PUSH 1 E 
S36F7 FST 2188 Cond GG1 Eró00005000 

aaesarra ||. LEA EDX,ELOCHE.31 

BB6sarr aaa! HOW EAS. DWORD PTR DS: CEBX+384] FCW Iech Prec MEAR,SS Mask 111111 

aaesarrn CALL ButcHide.BB54916C 





Si hacemos clic en el CALL 630F59 o en el CALL 630F62, veremos dos rutinas 
larguísimas que son llamadas desde más de diez sitios distintos. Para ser una comprobación del 
serial es bastante inusual. Esto y con el hecho de que EAX sigue almacenando nuestro serial, y 
de que no hay saltos alrededor de esa instrucción, son indicios de que no es aquí donde el serial 


va a ser comprobado. Fijémonos ahora en el CALL 630F69. Justo después hay una instrucción 
TEST AL,AL seguido por una instrucción JNZ. 


Si pulsamos F8 una vez más veremos que nuestra cadena en EAX ha desaparecido y 
que AL=0, así que este salto no va a ser tomado. Para saltar cambiamos el valor de la bandera Z 


a cero y pulsamos F9. 





- [CPU - main thread, module AutoHide ] : 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> BEIEN 


el dd sl Kl ët E I-A oa 
AG6SGFSE ||. 8055 FC LEA EDX, 
BaesmF41||.  SBBS B465606| NOW ERX, DWORD PTR DS: [EBX+384] 
maesaF4r ||. ES 2082F1FF | Gee RutcHide 62549160 w BBFHCEBE 
BaesaF4c ||. 8645 FC MOL EAX, v mnagamamnaa 
Baeaar4r ||. 58 PUSH EAX 4 BBFPFEPH 
BHE6SEFSH ||. 8055 FS LEA EDX,.ELOCHE. 21 ' Bai3F&d8 
AGSS3GF5S ||. S683 1C004608| MO Ep, DWORD PTR OS: CEBH+410] ' BaiaFe6d 


BGe38F59 ||. ES BEBZFIFF | (CALL RutcHide Gae4aléc See 

BBBSBFSE ||: 5645 F8 NOW EAX, HE 

Gaésaréi ||. 56 PUSH EAK : l 

ene3ares ||: Ee 71860000 [GAL futronraeragesssos 0B538F78 RutoHide.88638F78 
Goetz, SA POP EDY EIE et ms GREE See 1 


paezares ||. 59 POP ECX BB13F858 : Mees c | 
méscrFes ||) ES 26640080 AutoH ide. BB6SC394 cc De cent a EL cence) 


URZASHORT AutcHide. DO630FS8 AL 1) DS 6623 32bit ØLFFFFFFFF] 


even ub ; BHB3B 32bit FFFODSSe( FFF) 
Bae3ar ra PUSH 1 = ABRA n 

QB63BF r4 LEA EDX,ELOCHE.21 Rin 

BRESEF de HOW EA, DWORD PTR OS: CEBR+S64] LastErr ERROR SUCCESS (BB 


Baesarrn CALL B 
BBa63aFSz MOU ERM, Baaaa246 (MO,MB,E,BE,NS,PE, GE, LEI 


passo go SB PUSH EH STA empty 0. 0999999999999996279 


EELER ni Se 
SEL i | MOU EDY, UNICODE "ERRORMS& Invalic |z15 Ence, 
EELER 9 POP ECH BB13FB58 zx 
SEL EH SE 
BRESEr IE ETE Smotri 
DOG 2 MOL OL, 2 STE empty 
|| O E EES enpty 1, 0977691697 996085 750e+16 
aaesmEna ||: POP ECX BBlSFBS5G A a 
B&e3aFRS || . POP ECH BB13FB58 
egesarne ||. 64: MOU DWORD PTR FS: IEBX1,EDX 

Gool, 68 Cägteagn | PUSH 

BGESOFAE || > LER ERX, 

BGeSFE1 ||. BA Bseeaeea |HOU EDX, = 


BaésaFEe ||. ES 3D6500FF EN Autohide. 00407558 


VW 


.2l193124856823992352B8028892-11 
HBnr52s5r5256r35523B858er15 
.l24d4m23Be64569mrasmnde- le 
Sb55bz23323331456255BBde-16 
, CZE 795491 CT rer ebee+16 
.Sdzs4r5l1566d2rr91B8B00er16 


eho Poh oor 


BB6SAFBE |. C3 
BEESEFBC | .^ ES BS4FDDFF 
4 
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Parece que hemos llegado al sitio correcto, pero si pulsamos el botón “Ok”, veremos lo 
siguiente: 


— SE ci a rea 


E h ec he IP I nfo 





Seguimos con la versión de prueba ! Vemos que este parche no fue lo suficientemente 
profundo, así que tendremos que analizar el código con más detalle. Reiniciamos el programa 
para situarnos en el CALL 630F69. 
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[e] File wiew Debug Plugins Options 


HRESEFS 1 
BHESEF 2S 
BHESEF 2S 
DDG2pE Ze 
ager 29 
BHESEF ZA 
BHESEF2C 
BRESEFZE 
BHESEF ZF 
HHESEFS4 
BHESEFS? 
BHESEFSA 
BHESEFSC 
BHESEFSE 
BRESEF41 
BRASS 47 
BHESEFAC 
BHESEFAF 
HHESEFSE 
BHESEFSS 
BHESEFSS 
BHESEFSE 
ARESEFE 1 
BHESEF eS 
BHESEFES 
BHSSEF ES 


BRESEFEE 
BHESEF CH 
BASS Pe 
BHESHF da 
HASSE de 
HHESEF cl 
BHESEFSS 
BHESEFSS 
BASS SE 
BHESEFSE 
BHESEF au 
ARESEF 91 
um 


‘| 





Window Help Tools 








edd sl Kill e $E | a 
55 PUSH EBP 
SBEL MOLI EPP. ESP 
6A D PUSH El 
6A DH PUSH B 
GH BB PUSH & 
53 PUSH EBA 
SBLDS MOLI EBs, EAR 
SSC AUR EAS, EAM 
55 FUSH EBF 
a EC 3 FUSH 
64: FF36 PUSH DWORD PTR FS: CEAAI 
64: 3928 Hou DWORD PTR FS: CEA], ESP 
6A HB PUSH El 
GH BB PUSH B 
S055 FE LEA EDS 


D 
a 





. ELOCAL. 11 
HOJ EAX. OWORO PTR OS: LEBX*3B41 


IgE Es S 
MOLI EAX, 


BBS B4HSH80 
ES 2652F1FF 



























25645 FC 
SH PUSH EA” 
2055 FE LEA ED 


HOW Es. DWORD PTR DS: [EBX+410] 


ici E 
MOLI EAS. 


PUSH EAs 


CALL Autokide. 00639508 
POP EDX 


BESS 1204066 
ES MESZF1FF 
25645 FE 

SH 

ES 1568008 
SH 









co POP ECH 
ES 268466066 | CALL 

e4ca TEST AL, AL 
75 26 NG 

6A ai FUSH 1 
S055 F4 LEA ED 


. CLOCAL. 31 
HOW EAW, OWORO PTR OS: LEBX*3B41 


IgE i-e S 
MOLI EAK, 


PUSH EAs 


SESS E403000 
ES EHSIFIFF 
20645 F4 


SB 
ES 40568088 
BA Dapp 


HOU EDS, 
POP EL a 


59 
ES FG 
B m 





BreakPoint- > 


eee 


UMNICODE "ERRORMSG_Inval idUn Lock Dar a" 


Ahora sabemos que AL debe ser igual a uno para que salte a la dirección 630F70. 
Pulsamos F7 para entrar en el CALL: 
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m 


HHESCS99 
HHESCS9IA 
HRESCSIC 
HHESCSIE 
HHESCSAB 
HHESCSAS 
HHESCSA4 
HHESCSAD 
HHESCSAB 
HHESCSAD 
HEHESCSAF 
HHESCSB4 
HHESCSBE 
HHESCSBE 
HHESCSCH 
HHESCSC2 
DD CC 
ARABSC3CA 
ARABSCS3CE 
HHESCSOS 
HHESCSOS 
HeHESCSOA 
HEHESCSOC 
HHESCSEL 
HHESCSES 
HHESCSES 
HHESCSED 
HHESCSEF 
HHESCSF4 
HHESCSF9 
HHESCSFE 
HHESCSFO 
HHESCSFF 
46350441 
HHESC4HHE 
HBEBSC4IHS 
4630443 
HHESC4HA 
HHESC4IHE 
DD 2C AL 
DD 2C AE 
64635414 
BB6SC411 


4 


Esta rutina es llamada solo por dos lugares. 


Si ejecutamos el código línea por línea pulsando FS hasta llegar al salto en 63C3AB 
veremos que vamos a tomar el salto puesto que AL=0. Saltará a la dirección 63C3FD, donde 
espera la instrucción XOR EBX, EBX, lo que pone EBX a cero. Es importante tener en cuenta 
esto porque más abajo en la dirección 63C406, EBX es movido a EAX, lo que volvería poner 







n" WU aa R L] n" L] n" L] n" L] E E L] L] L] L] L] n" n" n" E LU L] L] L] L] n" E L] E E n" L] n" L] L] 


en 44| X 





ES FS4nBana 
ZECE 


BA 1CC46306 
ES rumdEBamna 
33C 
ES EB4BHBanmBa 
ZECE 


BA BA 208 
ES B5D4EBamBa 


23C 
ES D24nmana 
3309 
BH r4C46204 
ES Fän 
ES 
ES BF4BHBanmna 
23039 
BH B4C46204 
ES DEn 
Es Hl 
EB Hz 
2306 
GL d 
ES S68S6888 
GL 2 


Ce Wan 
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[e] File wiew Debug Plugins Options 


PIS Ses dug 


DB Hä 
PUSH EBP 
MOL EEP, ESP 
PUSH EB 
PUSH ESI 
PUSH EDI 
HOW EBs, ECs 
MOL EST, EDs 
HOU EDT, EAs 
HOU EDs, EST 
MOL EAS, EOI 


CALL 
TEST AL, AL 
HOR EAX, EAX 
CALL 


MOLI ECs, ESI 
MOLI EDX 


CALL 
HOR Ex, EAX 


MOL ECs, EBX 
MOLI EDS 


CALL 
HOR EAX, EAX 


AOR ECS, ECH 
MOLI EDX 


CALL 
HOR Ex, EAX 


ADR EL a, ECS 
MOLI EDs 


CALL 
HOU BL, i 
JHF 


ADR EBs, EBS 
MOL EAS, EOI 


HOW EAS, EBs 
POP EDI 
POP ESI 
POP EBs 
POP EBP 


AL=0, cosa que no queremos. 


Window Help Tools 




















BreakPoint- = 


UAICODE 


UNICODE 


UAICODE 


UNICODE 


Aut oH ide 
HutaHide 
HutaHide 
HutaHide 


"Hctivate.lnlockData" 


"Oct luate. SH 


"Act wate. HeedReact ivated'" 


"Act Luate, Expired" 


, HG 2DEGE 
, HHG 2DEGE 
, HG 2DEGE 
, HHG ZDF GE 
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[c| File View Debug Plugins Options Window Help Tools BreakPoint-> 
m dq] X| KI ME] HE) BE | a 

BSCS [B We 
EEEE FUSH EBF 
HHBSCSIS |]. SBEC MOL EPP, ESP 
HBBSCSIr |]. 53 PUSH EBX 
BR6SC398 |. 56 PUSH ESI 
Baeacaa2 |. 5Y PUSH EOI 
HHESCS9A |]. SBDS MOL EBs, ELA 
HBESCSIC |]. SBFZ Mow ESTI, EDOS 
HHESCSIE |}. SBF MOL EOI, EAS 
HHESCSAB |].  SBDe MOL EDa, ESI 
HHBSCSHe ||. BC MOL EAS, EOI 
HHESCSA4 ||. ES BBFFFFFF 
HHESCSAS |f 4C TEST AL, AL 
Baea3caHB |f .eyrd 55 
HHESCSAD ||. | 33CB8 ADR EAS, ERA 
BRESCSAF |}. | ES FS4naaaa 
HABESCSB4 || . | SBCE MOL Ela, ESI 
HHESCSBE |]. | BA 1004654468 | MOL EDR UMICODE "Act ivate. Un Lock Dat a" 
HRESCSBE |}. | ES rmdEmaama 
HHBSCSCH |. | S3CH AUR EAS, EA 
BERÉSESCE |. | ES Eatoopg 
HHESCSCY |]. | SBCB MOL ECR, EBA 
aaescsc9 |f. | BA SeC46se8 | MOL! EDs UHICODE "Activate. SH" 
BESSCSCE ||. | ES 5p4Emaana | CALL 
ARÉSC3OS |}. | 3500 AUR EAS, EHA 
ABE6SCSOS ||. [Es D24A66066 | CALE 
HHESCSOA |}. | 3309 AUR ECs, ELA 
HBESCSOC |]. | BA 74C46see | MOL ED WHICODE "Hot ivate. HeedReact ivated™ 
HHBSCSE 1 , | ES FeSeeeee | CALL 
HHESCSES || . | S3SCH AUR EAS, ERA 
BaescaES ||. [Es BF4éAgeea | GADD 
BASSCSED ||. | 3309 ADR EC, ELA 
BEBÉSESEF ||. | BA E4C46566 | MOL! EDX UNICODE "Act ivate.Expired™ 
HBBSCSF4 |}. | ES OF Saban 
HHESCSFS |]. | B3 Bl MOL BL, 1 
HABESCSFB |f .~| EB Ba 
HHESCSFO |] > *33DB ADR EBs, EBA 
HEESCSFF |} > SBCT MOL EAR, EOI 
añs30441 , ES SeB3guadad 
De 2 ae SBCs MOL EAR, EBA 
DG 2 A0 EI POF EL HutoHide.mmueaaFeE 
Bgaeaca4aa SE FOF"EST HutoHide.mmeaaBFaeE 
HHBSC4IHA EB POP EBs HutoHide.mmea3BFeE 
DG 2 Ab EO POP EBF HutoHide.mmea3BFeE 
Bgaeacaac C2 masa a 
De 2CA0tE D [B ma 
46630414 BH [IB BB 
agescdi1| — 84 DE B4 
4 


Si cambiamos el valor de la bandera Z a uno, y no saltamos veremos como al llegar a la 
dirección 63C3F9, BL va a ser cargado con el valor 1 y si BL vale 1, como va a ser almacenado 
en EAX, AEX va a valer 1 después de pasar por la instrucción RETN 8 en 63C40C. Si 
ejecutamos ahora el programa veremos que este parche tampoco es suficiente, por lo que nos 
veremos obligados a profundizar más en el estudio del código. 


Situemonos en el CALL de la dirección 63C3A4 y pulsamos F7 para entrar. 
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edd Si Kill bot Be] de] | a | 






Teer ES PUSH EBP * 
S SBEC MOU EBF, ESP 


















aaescszBpr ||. 6A op FUSH à 

Baescspa ||. 6A aea PLUSH à 

BaescsBB||. 6A aa PUSH à 

aaesczen||. 53 FUSH EBX 

AB6SC2BE ||. 8955 FC MOL) 

Baescezci||. 8645 FC HOU EAH 

aasscecd ||. ES TFEZDCFF | CALL 

añssceca ||.  s35ca HOR EAR, EAH 

BaescecB||. 55 FUSH EBF 

AAESCZCCE ||. 68 20CC36366 | PUSH 

aamescszpi||. 64:FF26 PUSH DWORD PTR FS: [EAH] 

aaesceznp4 64: 8924 HOJ DWORD PTR FS:LEBX1,ESP 

ARS3C207 saca 

ARS3C209 ES CE4EG6GBA 

BaescepE ||. 8040 ES 

AG6SC2E1 ||. BA 48036300 UNICODE "Activate. EEN Hr 
anmescsES |. EB 254naana 

BaescszEB||. 8645 Fe 

BaaescsEE ||. 56 

BaescsEeF ||.  S38ca 

amescsri||. ES GeaAboope 

Baescszre ||. 8040 F4 

amescszr2 ||. BA r4csesma UNICODE "Act ivate.KEY_E™ 
aaescsrFE||. ES an4naaana 

Baescsa3 ||. S5655 F4 

Baescsas ||. SB45 FC 

Baescasaa ||. E59 AutoHide. BRESCS3AS 
aamescsan ||. ES 9995FFFF 

aaescaarF SEDS 

Bae53c211 33CA 

ARS3C313 SA AutoHide. AAESC3AS 
AR630314 53 AutoH ide. BRÉSCS3AS 
Bagesca15 ES AutoH ide. BRAESCAS 
ARS3C316 64: 3914 Ej 
Slslzkiechk e 

BaescsiE ||» 2045 F4 

aae3sca21 BA maaanaaa 

anamescaa8 ES 20B20CFF 

agescszB CS 

Baescszc| .^ ES ESSBDCFF 

Baescasas1| .^ EB EB 

Baae3caa23 SECS MOL EAX, EBX 

AA630:335 5E POP EB} AutoH ide. BRAESC3AS 
aaescasase SBES MOL ESP, EBP 

AR6S3C338 ED EEP AutoHide. BECAS 
mnaescssas C3 E 
4 b 


En esta rutina no hay ninguna combinación de comparar/saltar, pero esto no significa 
que estemos en el sitio equivocado. Echemos un vistazo a la última parte de esta rutina. 
Recordemos que que AL tiene que ser igual a uno cuando lleguemos a la instrucción RETN en 
la dirección 63C32B (ya que el PUSH de 63C319 hace que el RETN solo salte a la dirección 
63C333). 


Si nos fijamos en la dirección 63C333 vemos que la instrucción MOV mueve EBX 
dentro de EAX, asi que antes de la instrucción PUSH en 63C319, BL tiene que ser uno. En la 
dirección 63C30F, EAX se mueve hacia EBX, por lo que en el CALL de 63C30A, EAX tiene 
que valer uno. Vallamos pues un paso más allá y entremos en ese CALL de la dirección 
63C30A pulsando F7. 
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[c] Fie View Debug Plugins Options Window Help Tools BreakPoint-> 
ir 44 X| Kl kat ELE adi a | 
ABE SSSAS rz PLUSH EBF E 
DC : MOL EPP, ESP 
ABS , ool4 FB HDD ESP,-1H 
DG ZOE ES PLUSH EBs 
DG 20 , 2306 AUR EBS, EBS 
HEISSE L , 950 Fe 
DG 2 DA , 5940 F4 
De 24 , 29355 FS 
DG 2 On » 8945 FC 
ARSS35SBO =- 5B45 FC 
HeBSSSCH » ES S8S381CDDFF 
DECK , SB45 FS 
DG 2 OC , ES FPBICDOOFF 
Bmagea3bsarL » 5B45 F4 
4635504 » ES FSICDOFF 
DG 2 » 356 AUR EAR, EAR 
DG 21 e 55 PLUSH EBF 
BBÉS5SDS ||. 68 PUSH AutoHide. 68635910 
DG 2 , qd: FF36 PUSH DWORD PTR FS: [EAs] 
mnagea3baEB , 64:8928 HOW OWORO PTR FS: CEA], ESP 
ARABS5SES =- 5B45 F4 
DG 3b5SEG . EH 
DEE T , 28045 Fe 
DG 2EGEH , ES 20990 
ARABS35SEF , aB55 FH Dutot de, pe 222 
DG 2 2 . SB40 FS 
HHEBSSEFS » SB45 FC 
Bmnage3b5ara , ES Zopp 
ARBS35SFO » oBDS 
DG SSSFF » SCH 
446353941 =. EA AutoH ide. HRBSC3aAF 
DEEL DE e AutoH ide. pe 2 20t 
466353943 E AutoH ide. H#HEBSCSHF 
46353404 , 64:129106 MOL OWORO PTR FS: CEA], EDS 
ARB3530r a o PLUSH | | 
DG 2 EL. > S045 FH LEA EAs, 
DG SS SF . BA Happ | MOL! EOS, 4 
BB635914 ES SF1CDDFF AutoHide. 60407558 
4635391 C3 
44635391A ES FEBBDDFF 
Baeib591F EB EE 
46635921 SBCs MOL EAR, EBS 
AABSS 925 EB POF EBS Au toH ide. AB6BS3C3HF 
635974 . OBES MOL ESP, ERR 
DG 35976 » Eb POP EBP AutoH ide. #63C3HF 
ISL rp EN s 
Bageadb228|npi ES PUSH EB 
oueseszs ||: Sbne NOU EBX, EA of 
4 Ld 


Como vemos esta rutina se parece bastante a la anterior por lo que haremos lo mismo. 


Es decir entramos en la rutina del CALL 6358F8 y nos aseguramos de que el valor de EAX sea 
igual a uno. 
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T T T T a 


ca3F 


H 
El 
B 
HE 


HHSSS 346 
446552349 
De 2241. 
De 224 
De 200 


E - 2 LLL 


Tm 
o 
o 
OU 
i 


T C RD D P RD CD RO RD D RD D I S 
Ia B Me E Ew Ew Ew ow Rie o RE Ee E E e E ew] 


TD O i D uuu ege co eo po = 74 74 7J a 
Da mre «n T4 On rà To HR C00 63 DT TI -e 


Cre ener eme ec cm c c cer cm erm er erer cmi 
«ED Sp se spe ses sxqp sm sqm se sess smesso wn 


A 

Wel 
D 
^] P 


[i Ms E Ee Ee GC GH EH a E EN Ew GC EC Eu CH GH GHG 
is Ros es on Bos Fe Fs Res on Eos e Fs Ee E Eos Re Eon Een 


j 
1 
1 
1 
Ts 
j 
1 
1 


a 
















































Sei 44 XxX] KU "€" "| EA 
S 65 PUSH EBF 
. SBEC MOL EBP, ESP 
8304 EC ADO ESP,-14 
53 PUSH EB 
56 PUSH ESI 
5? PUSH EDI 
23306 “OR EBX, EBX 
2550 Fa 
8550 EC 
S940 F4 
85955 FE 
2945 FC 
Se45 FC 
ES EE1BDDFF 
5645 ES 
ES E&1BDDFF 
BB45 F4 
ES DE1BDDFF 
55645 as 
ES D&é1BDDFF 
saca “OR EAM, EAM 
EE PUSH EBF 
65 4dDB5Be638B | PUSH 
q4: FF36 PUSH DWORD PTR FS: CEA 
64: 8920 HON DWORD PTR FS: IEN), ESP 
S045 Fa LEA EAH, 
Ep PUSH EAH 
SE40 a8 MOL ECH, 
BBE5 F4 MOL EDH, 
BB45 FC MOL EA! 
ES EAFDFFFF 
5645 Fo HOU EAH, 
BECA TEST EN, EAH 
_ Fd 16 JE 
. SEDà MOL EDX, EN 
S3EA an SUB ED, Gn 
66: ESCH @2 | CMP WORD PTR OS: CEDxI,=2 
8D45 Fa LEA EAH, 
S8B55 Fo MOL EDX 
ES i1918DDFF | CALE 
> GES HOU EE}, EN 
S95E06 TEST EBX, EBX 
v T4 BS 
SSEB 84 SUB EBX, 4 
[BiB MOL EBX, DWORD PTR DS:rEEXJ 
> SBd45 ES MOL EAH, 
2500. TEST EAX, EAX 








window Help Tools 


BreakPoint- > 
ai 


AutoHide. Op 21 202 


AutoHide. BRÉSC3AS 


Fs 


Vemos que se trata de una rutina bastante larga con muchos saltos... Pero a nosotros 
solo nos interesa salir de esta rutina con EAX=1. Bajamos por lo tanto hasta el final de la rutina. 
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[e] File View Debug Plugins Options Window Help Tools BreakPoint- = 


44 Si jl bai =] 


SBD HOU EDS, EAS 
23EA BA SUB EDs, D 


ai 


el: 






















GER 
BRESSABS 
De 2 HE 
De 2 HH 
HeESSABD 


=, -m 


Dos es Er Een Es Ee 

[i RR o Ren] 

* CTS CT CT TS IT 

OO OO Cn Co LO CU 
Cei arcu 
LDIXMDI IU 

e bb Fb Fb Á D 

Co A Po 6» ITI 


Em 
T 


yi Be | CHP WORD FTIR DS:rEDs1,z 


LEA EAs, 
MOLI EDS 


CALL 
MOL EDI, EAX 


TEST EDI,EDI 


SUB EDI,4 

MOL EDI, OWORO PTR DS:LEDIJ 
LEA EAs, 

PUSH EAX 

MOLI EDs, EBA 

SUB EDa, ESI 

IHC ED 

MOLI ECs, EDI 

MOLI EAR 


AES EUR, 


TEE IF ES BSF 100FF (GALL ButzHide.DBAT4EEU 


BBSSESHZR 


WDR FAX, EAs 

POP EDS 

POP ECH 

POP ECK 

Hou OWORO PTR FS: [CEAS], ED» 
FUSH 


LEA EAs, 


HutoHide. 


HutoHide. 


HutoHide. 


HutoHide. 
HutoHide. 
HutoHide. 


He 20.220 


BRESCSAD 


551513 


BAS 5SFD 
Baes3b5aFD 
aas3b5aFD 


BH 85666686 | MOL EDA, E 


dE H4C 


BB635Hb4 
GE 
De 2EHE € 

OMES5ABE 
De EH 
Hd535H5B 
BHESSASC 
BASS ASF 


jes5nss |. 68 545A6500 
63593F ||. Es 1418DDFF | CALL 
aB&sen4a ||. 8045 es LEA ERX 
aeBes5nay ||. ES Bai1BDDFF 
. C8 
EB ES 


MOL EAS, EB 
POP EDI 
POP ESI 
POP EBs 
HOW ESP, EBP 
FOr sd 


DB 98 


HutoHide. 
HutoHide. 
HutoHide. 


HutoHide. 


aas35aFD 
BRESSEFO 
BRESSSFO 


BHESSSFO 


rd 
DE BH 


So Sere = EE. sx 





A primera vista esta rutina acaba de la misma forma que las dos anteriores, sin embargo 
hay una diferencia crucial y es que si entramos en el CALL de la dirección 635A23 veremos 
como estamos entrando en una rutina que es llamada por más de 70 sitios (se utiliza para decidir 
que objetos van a ser cargados). Si hacemos algun cambio aquí no solo se verá afectado la 
comprobación del serial sino también todo lo demás. Así que no entraremos en este CALL de la 
dirección 635A23. Hemos llegado a lo más profundo que se podia llegar, y es por ello que 
decidimos a realizar el parche en este lugar. 


Recordamos que necesitamos que el valor de EAX sea igual a uno. Para ello cambiamos 
la instrucción del CALL en 635A23 por MOV EAX, I: 
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BHESSIEB 
BHESS IEE 
BHESS IFS 
HESS oF 4 
De 22 
Hae 35 9FH 
Bae3b59FF 
ads 35HBl 
MASAS 
MAS 35AB5 
De 2 HE 
De 35HBH 
HeESSABD 
BEHESSABE 
De 210 
De 2013 
Bae 35H13 
ad535H15 
BHESSALS 
BHESSAID 
aas35H2B 
BRESSASS 
BHESSH2S 
Bade 35H2H 
De 35H2c 
aas3s5H2D 
Hd 35H2E 
Hae35H2F 
De 2 H 
adas35H3r 
ads 35H3H 
adgsa3sH3F 
Hae3b5H4d4d 
aas35H4dr 
ads 35H4c 
Hades 35H4D 
Hae3b5H52 
De 3b5H54 
ads 35H56 
adges35H5r 
De 2 HE 
De 2 HE 
ads 35H5SB 
BRESSASC 
BEESSHSF 
BHESSABE 
Baas3b5He4 


mum, mmm d nom 


BUS 


- [CPU - main thread, module AutoHide] 
[e] File View Debug Plugins Options 


bil 


i| 44| X 


SEDA 
23EA HH 
66: 233A H2 
r4 BB 

5045 FS 


2B55 Fo 
ES C9mFDDFF 
SBFS 


: 
. BEFF 
v 74 B5 ` 


== 






Assemble at 00635423 Slide, 





wi A 


ED, Es 
Ela, DH 
WORD PTR 


EA”, 
HOL 


ED 
CRLL 

MOL EOI, EAX 
TEST EDI,EDI 


am. d 


UN Le? mmo 


£I 3 

















HOL 
SUB 
CHF 


LEA 







[ss EDIT. 


















Window Help Tools 


ai 


BreakPoint- > 


[MOV Eso, 1 -| 


Iv Fill with NOP's 


ES BSF 100FF 
2B 


> 8045 EC 

. BA DD 
ES I41BDDFF 
2045 DC 
ES B41BDDFF 

. [3 

.^ ED C2HADDFF 
EB E3 











U EBA, EAS 
EAs, EAA 
EDs 
EL a 


EL a 
DWORD PTR FS: LEEHR1, EDS 


F 
LEA EHa, 
MOL EDs, 5 


CALL 
LEA EAH 






MOL 
POP 
POP 








ide. 
Cancel | 


ide. 


HutoHide. 
HutoHide. 
HutoHide. 


HutoHide. 
HutoHide. 
HutoHide. 


AutoHide. 


DG 20.220 


BRESCSAD 


BEESCSEF 


BHESSEFO 
HEESSEFO 
Bags s5saFD 


aas3ss5saFD 
aas3saFD 
ABESSEFO 


aae35saFD 
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- [CPU - main thread, module AutoHide] 


[e] File wiew Debug Plugins Options 
[| dd) A 








IL DL OD CU 
i [ 
Vp 
TI 
fu 


v Ch CP fs Ch C CP E Cs 
IO oru 
encod CH 

«Dn 

7771 

D. 


aas3snHaD 
De 35HBHE 
Hae 35H18 
HG 2201 


ARE35A20 
DG SSAz0 
DD SSAZE 
BG HE 
Hee SsSAs2 

GOEN 
DD SSASA 
DG 2D2E 
64635444 
664635447 
DG SSA4C 
4635440 
DG 2EDE 3 
DD 2 DE d 
Hd5635H56 
AABSS5ASY 






SE OA 
S3EA HA 


66: 233A Be 
r4 BB 


5045 FS 
2B55 Fo 


ES C9mFDDFF 


SBFS 
GEF 

r4 65 
S3EF Hd 
SBF 
25045 EC 
5B 


GP 
ZP 

qe 

SBLF 
25645 FH 


ES 9322D0FF 


SBSS FS 
SB45 EC 


BS Blanda 


25045 EC 


BA Basmnmaada 
ES 141600FF 


2045 DC 


41 600FF 
EY C2e400FF 
EB E3 


LL 























ZE 


EDs, Es 
ED, BH 
WORD PTR Dë: LED1,2 


edi 3 






HOL 
SUE 
CHF 


LEA 
Vert 


org EOI, EAS 
Ud HEUDLUSIUSHEHENDISZSHER EDI,EDI 


JE SHORT AutoHide. ABÉ35ABA 

SUB EDI, 4 
HON EDI, OWORO PTR OS: CEO 
LEA ERnX.ELOCHE:51 

PUSH EAX 

HO EDY, EBS 

SUB EDX. EST 

INC ED! 

MOL ECH, EDI 













EA”, 
EDs 







Reiniciamos y ejecutamos el programa: 


E 




















Fake location: 


Auto Hide IP 5.5.2.6 


M. 


|_| Launch On Startup 


| |] Change IP Every 10 1 B Minutes 


Window Help Tools 


BreakPoint- > 


AutoHide. 


HutoHide. 


AutoHide. 


AutoHide. 
AutoHide. 
HutoHide. 


HutoHide. 
HutoHide. 
HutoHide. 


AutoHide. 


UNITED STATES 


aae3o238 


BRESCSAD 


BRESCSEF 


BHESSEFO 
HEESSEFO 
aae3sssaFD 


aas35aFD 
BRESSEFO 
DG s5saFD 


BHESSEFO 





LIES he ick Biz Info 


Parece que todo ha salido bien. El programa ha aceptado nuestro serial y el periodo de prueba de 
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un dia ha desaparecido. Pero hay un problema; cuando reiniciamos el equipo y ejecutamos el 
programa, el proceso de registración queda reseteado. Lo que significa que debe haber algun 
fichero que se cambia cuando cerramos el programa. 


Si ponemos un punto de ruptura en "btnOKManuallyClick", reiniciamos el programa y 
pulsamos F9, Olly se detendrá en nuestro punto de ruptura. Ahora sí podemos buscar por 
cadenas de texto. Buscamos todas la cadenas de texto “Activate.NeedReactivated” (hay cuatro 
en total) y ponemos un punto de ruptura en cada uno de ellos. 


- [Text strings referenced in AutoHide:.text] 










Address 


BRESCOFF 
BEESCIIB 
BR6SC9S5 
De 224, 
He 
BEESCIIB 
BRESCIAS 
BHESCIBA 
BRESCAS4 
Hac SCHEG 
BRESCE4A 
BRESCESF 
BRESCET? 
BERESCEBR 


BERESCBE1 
Bae3cBFE 
Bae3crr4 
Bpae3cDa4 
Bpae3cDasag 
Baae3cpD3a 
Bae3cD44 
Baae3cDea 
Bae6a3cDras 
pac scis 
BA63C098 
pac SCAT 
BRESCOBC 
BEHESCOES 
BRESCOFS 
BRESCERS 
BeESCES4 
BRESCES4 
BEESCESS 
BRESCESS 
BEESCETC 
BRESCESC 
BEESCESC 
BRESCEBS 
BEESCECC 
BRESCEE4 
BRESCF RR 
BRESCF 1B 
BHESCFES 
BRESCr SS 
BRESCFE4 
BRESCFE4 
BRESCF SS 


D ZE OO 
A 


Breakpoints 


[R] File View Debug Plugins Options 


eddi X| Kill e. 


Disassembly 


EDX, AutoHide,. &863C004 
MOL EDS, Autobide. DG 2C DEG 
MOL! EDR, AutoHide. &6SCE24 
MOL EDS, AutoHide,. DG 2CEAG 
MOL! ECR, AutoHide. SB6SCE6R8 
MOLI EDS, AutoHide. 886SCErC 
HOW EAR, AutoHide. &86SCE9C 
MOU EAS, AutoH ide. SB6SCEB4 
MOL! EA, AutoHide. BEBBSCECE 
MOU EAs, AutoH ide. SB6SCEE4 
HOW EDR, AutoHide. AE6SCFAA 
MOL! EDR, AutoHide. S86SCF25 
HOW EDR, AutoHide. De ZF 
MOL! EDR, AutoHide. S886SC028 
HOU EDS, Autobide. AB63CF 3a 
JHP SHORT AutoH ide. BEASS3CEFY 
MOU EDS, AutoH ide. BRÉSEFCA 
UNICODE "Activate" 
UNICODE TT, SHPRE" , D 
UNICODE “Act ivate™ 
UNICODE ". SH", 

UNICODE "Ape. PIO", & 
UNICODE "-UNLT",& 

UNICODE "Act ivate™ 
UNICODE Unlock or" 
UNICODE "ata", 8 

UNICODE “Act ivate™ 
UNICODE '".MDIT",8 

UNICODE “Act ivate™ 
UNICODE Unlock Dr" 
UNICODE "atsPre", D 
UNICODE "App. Re3P"" 
UNICODE "sth", 8 

UNICODE "SoftWare" 
UNICODE "TTT, n 

UNICODE ""amaamaana" 
UNICODE El 

UNICODE "".isz"",8 

UNICODE "Test, PT, D 

UNICODE ".for.",8 

UNICODE "".onlu."", 8 
UNICODE “Act ivate™ 
UNICODE ".EID™, 6 

UNICODE “Act ivate™ 
UNICODE ".KEY_M"", D 
UNICODE “Act ivate™ 
UNICODE "TEEN ET, & 
UNICODE "Activate 


HI TICDDIE PE AeA LU 


Address | Modu le Act lue 





HG ZPIaC AutoHide| Always 
ABESCSOC|) AutoHide| Always 
AREÉSCSAA| AutoHide| Always 
AREÉSCEBOS| AutoHide| Always 


Window Helo Tools BreakPoint-> 
v eI a] a TES 


Text string 

UNICODE "zz" 

UNICODE "Activate, UnLockDat aFre™ 
UNICODE "Hpp.ReaPath'"" 

UNICODE "Softwares." 

UNICODE "CHL" 

UNICODE "eem 

UNICODE ".isz" 

UNICODE "zzi." 

UNICODE ".for." 

UNICODE ".onlu." 

UNICODE "Activate. EID" 

UNICODE "Act ivate. EEN Hr 

UNICODE "Activate. KEN Em 

UNICODE "Activate, SH 

UNICODE "Activate. HeedReact ivated™ 
[Initial CPU selection!) 

UNICODE "Activate. Expired" 


Disassembly 


HOW Eb, AutoH ide. De Dë 
MOL EDs, AutoHide. DeG2 Add 
HOU Eb, AutoHide. De 2 
HOW EDs, AutoHide. BEEÉSCFEA 


Reiniciamos el programa y pulsamos F9. Olly se detendrá en el punto de ruptura 63CBO5. 
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lF] x| 


- [CPU - main thread, module AutoHide] E 
[c] File "View Debug Plugins Options Window Help Tools BreakPoint-> -la| x| 


Running lx Aa KU "t| LIS sl o 
ED UNICODE "Activate. NeedReactivated™ Yi Reaisters (FPUJ 


. BA SBLFÉSBB | MOL 
BBÉSCEDA | . ES AS4SABBB | CALL Y BBISFSBSC 
ARE SCEOF . IMS TEST D, DL VM Ba13F5BC ASCII "rin 
Apescee? |: | 2845 DC mou ERE ; Dën 
DG SCBE: i . i ; EI 
OBESCBES | . | C688 Eooogeel MOU BYTE PTR DS: LEAX+ESI, = cd eres iS 
BRÉSCBED | . | ES F&S4DCFF BP BalsFBDC 
BB63CBF2 | .-|E9 POpoooop TET 
AREBSCEFY + *"22LH ADR EAS, Es FERRE 
GBÉSCEFS | . ES BE4zBaaBB - 
GBESCEFE | . BA CBEFGSBB | MOU EDX UNICODE "Retivate.Eupired" ' TC91ERFB ntdLll.zC91bRFB 
BBeSCCRS) ER /C490000 | Bü23 32bit BLFFFFFFFF) 





ABÉSCCOS | . s4Ca TEST AL, AL SE al | 
cR S BBIB 32bit BLFFFFFFFF]) 
e giras: 55 0023 S2bit BIFFFFFFFF) 
Cosa EBBBBBB MOU BYTE PTR DS: LEHETEBI, 2 : : ae sae EE 
Es CDS4DCFF eee E 
EXER ABBA HILL 
Oger Esaaaaa| PLD Oct PTR DS: Gees LastErr ERRÜR SUCCESS (BBBHBBBB 
D210 E4CFé&38| FCOMP DWORD PTR DS:Le3cFE41 ABOB0202 (NO, HE. HE, A, HS, PO, GE, G) 
SB WAIT STA empty 
DFEB FSTSW AX STL SE 
SE SAHF ST E 
r4 20 TZ empty 
bei ES s2CSDDFF d OH Dora, BEE alk dale. 
propa e d . TÉ empty 2.8429475166027791000e+ 
GE ; Deg ESBARGA FADD BORD PTR OS: CEAX+ES] 7 mets :69/ 769169 996095 Ges 16 
GERE aS 3210 5 
BBescC4B| . 9B WAIT eres e 
SCC4B ST 2128 Cond 8881 Err eai a 
DH m lc Ha i 1237F Prec NEAR,64 Mask 11 
ABÉSCCAF | iv 73 11 
geescesi| | 9645 DC MOU EAX, 
aB&sCcE4 | . Cése EBBaBBa MOL BYTE PTR DS:LEBETEBI,- 
BAÉSCCSB | . ES 8894DCFF | CALL AutoHide. BA4asaES 


4 + Ld 


Jump is HOT taken 
Bae63cBFr-nmutoHide.tdmage3acBFr 


Vemos un CALL y después un TEST AL,AL. Parece que comprueba si AL vale cero o 
uno. A continuación hay un salto. Cambiemos la instrucción para que salte siempre: 


Gi 


«EIC EIL Ie irr 2 

.2l293124868999928283B8e-11 
Bpa?ezsrbaerse6523mbBeti15 
.l2d4B23n646980r838B8et16 
.Sb5552323231456255880et-16 


rp noo po e sno nà 








- [CPU - main thread, module AutoHide] i 
[c| File View Debug Plugins Options Window Help Tools BreakPoint-> 










gr|44 X| KI bot lI: + EE 
BaescBH2| we ED HUH LD zs 













Badge3cBHr 
HEESCBAS 
HEESCBAE 
Hags EBG 
BRESCBBS 
HEESCEBA 
HEESCEBD 
ageacpc4 
BHESCBECS 
HEESCECE 
BAS EDO 


E) Fill with HOP": | Assemble | Cancel | "Oot ivate. NeedReact ivated™ 
ABEBSCBOA Assemble 


ABESCEDF 


AUR EAS, EAS 


A 33C8 
. ES FE420000 | CALE HuteHide.BBe48ERC 
Assemble at OO63CBE1 X|[ "Activate. SH" 


JMF SHORT OO63CBFY 














































BBÉSCBEl | ~rEB 14 JMP SHORT ButoHide.BEeSCBF? 

BüGSCBES| . |8645 DC MOL EAX, 

BESSCBES | . | Cesa Eopospa MOU BYTE PTR DS: [EAX+EB1,5 

BBESCEED | . | ES F6S40CFF 

BGSSCBF2| .-|E9 DOOGOOg 

BüesCBFr | > 533cB HOR EAX, EAX 

Bü6SCEF3| . ES AE420000 

BEGSCEFE| . BA CBCF6208 | MOU EDX UNICODE "Activate. Expired” 

Büesccas| . ES 7C480000 

Baescces| . Gap TEST AL, AL 

BBESCCOA | .« 74 14 JE 

BBESCCAC | . 2B45 DC MOL ERX, 

BGSSCCHF | . Cesa Egesana| MOU BYTE PTR DS: LERX*EO1, 2 

paescció| . ES COS4DCFF 

BBESCCIB| 1v ES 91000066 m] 
Dean) > 8645 DC MOL EAM, 

Büescc2s| . DDse Ego FLO opt PTR OS: LEAX+ES] 

Baescc23 | . D810 E4CF630| FCOMP DWORD PTR DS:L68CFE41 

BBeSCC2F | . 9B WAIT 

Baesccsa| . DEER FSTSW AX 

Baescca2 | . SÉ SRHF 

BBESCC33 | .« 74 2D 

BBÉSCC35 | . ES S2CSDDFF 

Büesccsn| . D905 ESCFS2e/FLO DWORD PTR DS:L63CFES] 

BüesCC4B | . 8645 DC HOJ EAX, e 
rara GC al Dun COA Conn nbinpnm CTE ni: FOS 7 

4 k 


El resultado vuelve a ser alentador. Guardamos el ejecutable en disco, y lo ejecutamos 
(sin estar conectado a internet). 
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[9 check IP Info 


ir] 


E A 
Asti bore i 


Biter TEA 
) Ee 7 


y- Ee 
Ki 
Set 151 


awe 


5 i r =: 
A Et EE 
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8.2 Bypasear un archivo de claves 


Descargamos el programa Hpmbcalc 4.22 de internet. Una vez instalado lo ejecutamos: 


E Register Hpmbcalc 





Vemos que el botón clave parece ser el “Import Key File". Por el nombre podemos 
deducir que lo que nos hace falta es un archivo de claves. Hacemos clic en el botón y se abre 
una ventana con el nombre del archivo: 
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Buscar en: E Mis documentos sl + um CS Fe 


Documentas 
recientes 


scritaro 





e 


Me 
documentos 








A Membre AL hpaplkev 


Tipo: Binary Files [*.bin] 





Abrimos un documento de texto y lo guardamos con ese nombre: hpapikey.bin. 
Volvemos hacer clic en el botón "Import Key File” y seleccionamos el documento de 
texto que acabamos de crear: 


Escritorio 


Mr 


documentos 


e 





El hpapikev.bin 


Mi PE 


Mis sitios aE a Hombre: [hpapikey.bin * | 


Tipa: All Files [*.*] * Cancelar | 
E 





A continuación escribimos nuestro nombre y hacemos clic en “Register Now" (antes de 
seleccionar el archivo de claves este botón no estaba activo). 
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E Register Hpmbcalc 





Ya tenemos nuestro “bad boy” 





Hacemos clic en “Aceptar” y volvemos a la ventana de inicio. 


Pulsemos ahora “Continue Evaluating". Seleccionamos “Help” -> “About Hpmbcalc..." 
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E 2 
Ta ee rr 
, Tas 
ER 


d 
T a 





Hexprobe's Multiple-Precision Hex Calculator 
Hpmbcalc Version A 22 | -— 
Ordering Info | 
Copyright(C) 2004-2009 Hexprobe System 
License | 
Followings are product contact points: Register... | 


E-mail suppartthesprobe. com 
Homepage:  htlp;/ www hexprobe. com/hpmbcalc/ indes. htm 





Download: — http: "www. hexprobe. com/hpmbealc/download. htm 


Supporte ` bt Awans hesprobe.com/hpmbcale/suppartshtrr 


This copy ot dpmbeale is unregistered! 


Esto es todo lo que necesitamos saber. Abrimos Olly y cargamos el programa. Si 
buscamos nuestro “bad boy” por cadenas de texto no vamos a tener éxito... Lo mismo ocurre si 
empleamos la técniqua del “Call Stack". 


Así que cargamos el programa en “Resource Hacker”. 


EA Resource Hacker - E: Archivos de programa*sHpmbcalcsHpmbtalc.exe 
File Edit View Action Help 

"(tg en 
-CJ Bitmap 
-CJ Icon 
{| Menu 
| Dialog 
| String Table 
3 Cursor Group 
{| Icon Group 

| 9 Version Info 
(y 24 

Bes 241 





Desplegamos la carpeta de “String Table" (estamos buscando una cadena de texto). 
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EM Resource Hacker - Cr Archivos de programa*sHpmbcalcHpmbtalc.exe d -iej xl 
File Edit View Action Help 
Ey String Table 
a 7 
H-E n 
H-E 63 
Eet 


GL 55 


Gr BB 
f(y 67 


H-E 126 


Egg 127 





GL 128 


H-E 129 


(og 130 


Gg 131 


H-E 132 


m-( 133 


H-E 134 


GE 344 


ebe 345 
a CH 346 
Se 347 
a CH 348 
o CH 349 
o CH 2048 
H-E 2050 
GË 2051 


CH 3605 


ER 3841 E 
EN E 


Podemos seleccionar carpeta por carpeta para buscar nuestra cadena de texto, pero lo 
más saludable es ir al menu y seleccionar “View” -> “Find Text": 


EM Resource Hacker - Ch Archivos d 


File Edit | view Action Help 
Eg Str X Expand Tree 


i Collapse Tree 


HLI Find Text...) Ctri+F 








PE Find ext F3 
GE Editor Fort ... 





En el campo de texto que aparece a continuación escribimos el texto de nuestro “bad boy”: 


Buscar X 
Buscar [mation you have given can't be verifiec, Buscar siguiente | 
Lancelar | 





[  Caincidir mayúsculas y minúsculas 
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EM Resource Hacker - C^ Archivos de programa*sHpmbcalcsHpmbtalc.exe EP E [2| xj 





File Edit View Action Help 


{ 

2064, 
2065, 
2066, 
2067, 
2068, 
2069, 
2070, 
2071, 
2072, 
2073, 
2074, 
2075, 
2076, 
2077, 
2078, 
2079, 
} 





SIRINGTABLE 
LANGUAGE LANG ENGLISH, SUBLANG ENGLISH Us 


"Can't set host site to script engine." 

Can't initialize a new script object." 

"Can't add named item to script object." 

"The script engine is executing script code..." 

"The Script engine has returned from executing." 

"The Script execution thread has been terminated. " 

"Invalid hexdecimal data string!" 

"Invalid first hexdecimal operand!" 

"This copy is licensed ta: +3." 

"This copy of Hpmbcale is unregistered!" 

"Left Evaluation Period: 31 days!" 

"The register information has been verified," 

Wine register information you have given can't be werified. 
"To do an operation, you must specify ("First Operandi." 
"To do a binary operation, you must specify "Second Operand 
"First Operandi is invalid." 


Una vez encontrado el “bad boy" fijemonos ahora en el nimero delante de la cadena de 
texto; 2076. Es el número que utiliza el programa para empujar (PUSH) esta cadena. 
Busquemos ahora ese nümero en Olly. Hacemos clic con el botón derecho y seleccionamos 


“Search for" -> “Constant”: 
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PUSH 
MOL 





















Window Help Tools 


EES, ESF 
H 





- [CPU - main thread, module Hpmbtalc] 
[€] File View Debug Plugins Options 











BreakPoint-> 

















EB 











HDD 





Registers CEP 

























5 
. 68 FF PLUS 3 

GAS SE > Elx BBlSFFBG 
Goes ||: Es forsacos | PUSH He Ee SE handler inst MEDIE EDs! PCS1EBS4 n 
CSC : 64:1 Bead MOU ERX, DWORD PTR FS:[0] ame {label} in current module CtrH-N ESP BalasFFD4 
Vit: 2935C " f E j t i 
a |: EP Ue No EE backup e usus 

dz 3394 . r CDI TORTOR p 
agdesss7 ||: 53 PUSH EEK , TRA | Ep n 
aedzasse ||: Ge PUSH ESI Copy Corman Ctri+F EIP 00429377 H 
EH, > Sequence of commands ` mir o ES gopa a 
an4sason ||. FF15 8492440 DWORD Assemble Space Constant | Eccc ls 
aedeosas ||: 3302 “OR EDH, EDX ! E "eege? ME e 
6423385 |. SAD HOU DL, AH Label : Binary string Chrl+B c B FE ASE 2 
aedsssnry ||. 8515 BCEC45a| MOL DWORD F CN | TA GS aBBB $ 
Be4seasun |. sBce MOJ ECX,EAX Comment 4 z dee "7 
üc4sssnF ||. 21E1 EFopnan AND ECX,GFF — All intermodular calls D 8 Caster E 
eese]: Prey E PA (| Sete ee EFL BeBage4e | 
B42 938 a i en 
üa4sssBE ||. Bach Es ECH, Em Hit trace d l STO empty UNO 
Bee goap E4EC450 ICH DND E gun peace » sequences Sr emptu BLA 

429506 |. | 1 empty B. 
ae4sance || 1 AS BaECasen All constants. STE BUDE Rr 
i : STS empty: 8.4 
BadsoascE ||. 6A 61 SES E Ee 
o4sssne |: ES SS360000 soto j| Gee e Ste ZE BIB 
debe a : m Follow in Dump k All referenced text strings ae empty 6-38 
aasaana ||” Ze S : STr empty B. 
O | a tae View call tree icrl-E ! = x 
Be4zcsDH ||. 6A IC : User-defined label FST 4828 Cond 
GEN 5 zc rampa h diced i ECH B27F Prec 
M4 eI5E1 |]. Search For k User-defined comment Ed: 
ans2ó ze || * ES De220000 pach : 
AB4Z9SEF ||. 8508 Find references En k 
BedsosEs ||.« 75 68 
GA4255ER |. -6A 1A Miei 
AG4253E0 ||. ES Bzamaaaa " 
Bede93E2 ||. 59 Copy En executable + 
ducem E Analysis » 
4 | AT 

— - Help on symbolic name CFE) 
Address | Hex dump. - BOL SEFC E 
ETEETSETSTETS 00 ST SD iF 44 BG. 7E - Detach Process cio 
Bs4sonia|1F a 00 4E DA 43 60/26 Dl RISE 
dGa45oasa|BE 27 44 DÉI AE 27 44 00DE zl pope he 
Da45odsa|28 2E 44 00/D2 36 44 mara si Process Patcher SAREE 
DAF pp r3 423 00/06 OF 4d 64 99 o Analyze This! e Se S 

4 $ 
ID AFicator b - : 

command ? PUSH 


hexadecimal: 


Enter constant En search for X] 





Hexadecimal (0000081 » 


Signed [2076 
Unsigned [2076 


[v Entire block 


cen | 


Hacemos clic en “Ok” y Olly nos lleva a la siguiente sección de código: 
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Introducimos en numero en los campos "Signed" o "Unsigned" y Olly lo convierte en 


- [CPU - main thread, module HpmbCalc] 








4841 SECA 
B41 SELCE 
4641 SECC 
46841 9ECO 
4 136CE 
8641 96CF 
HE4 19608 
468419601 
DAT SEDDS 
4641 9605 
4841 SEDA 
G41 SEDC 
4641 SEDE 
4641 SBEN 
ag419BE5 
a6419BEA 
aagi SBEC 
aagi SEFI 
4641 9BF2 
4641 9EF= 
HE4196F5 
ag419BFH 


BB419CBE 
Aad 1 CGF 
46419010 
ARAI ort 1 


4 





eH 
GI 
ES 


SBC 
ES 
SE 


C3 
6A 
65 
ES 
5 


[c] File View Debug Plugins Options 


dp 
LOGO 
Rtg SIS 


E 
HeFFaBlmna 


3H 
SSES 
sarra2aa 


FL 
MOLI EST,ECA 


TEST EAS, EAS 
PUSH -1 


PUSH 46 
PUSH S1B 


CALL 

MOL ECR, ESI 
POP ESI 
RETH 


PUSH 26 
PUSH S1C 


CALL 
POP ESI 


HOP 
MOP 
HOF 
HOF 
HOF 
HOF 
HOF 
HOP 
HOP 
HOP 


Window Help Tools 


MESS e s E 


HOP 
MOL EAS, DWORD PTR OS: [EC+«+6C] 


TEST En rn 


BreakPoint-:> 


kerne loz. rC81604F 


kernel32, rLs1604F 





Vemos que en la dirección 419BF5 tenemos la instrucción PUSH 81C, y 81C como 


vimos antes es nuestro “bad boy”. Dos líneas antes tenemos un RETN, por lo que debe haber 
algún salto que nos lleve a la dirección 419BF5. También sabemos (por la “flecha” gris delante 
del opcode) que hay un salto hacia la dirección 419BF3. Si hacemos clic en esa línea vemos que 


efectivamente hay un salto que proviene de la dirección 419BDC. 





- [CPU - main thread, module HpmbCalc] 







aagi SECH 
HE4196CB 
aagi SECC 
aagi SECO 
a68419BCE 
HE4196CF 
aea 19608 
aagi 9601 
8419603 
864196035 
4841 SEDA 
aagi SEDC 
ag419BDE 
aa41*9BEB 
HE4196ES 
B41 9BEA 
ag419BEC 
aa41*9BF1 
41962 
HE419BFS 
ag419BF5 
aagi SEFA 


aagi SCA 
HE419C85 
841 9C89 
aagi SCHA 
aagi SCAB 
ama 1*9 noc 
aea 19a 
aagi SCHE 
aagi SCAFF 
468419016 
fara ML Y pl Mo] 


d 


ex 44) X 


6S 
ES 


SBC 
ES 


[c] File View Debug Plugins Options 


1Basmana 
S07 rema 


E 
HeFFalaa 


SIS 
Uess 
DO d 7 R288 





PUSH ESI 
MOL EST, ECs 


TEST EAH, EAS 
PUSH -1 













PUSH 46 
PUSH S1B 















CALL 
MOL ECR, ESI 
POP ESI 


PUSH 3&8 
PUSH SiC 


POF ESI 
RETH 


HOP 
HOP 
MOP 
MOP 
HOP 
HOP 
MOP 
MOP 
HOP 
HOP 
HOP 
MOP 
MOP 
HOP 






Window Help Tools 
EH €[* e| +) 


ai 


HOP 
MOL ER, DWORD PIR DS: LECRSTSCI 
TECT Env conv 


BreakPoint- > 


kernel32, res1604F 


kernel32, resiéD4F 


xi 


Podríamos cambiar el valor de la bandera para no saltar, pero ya que tenemos abierto el 


Resource Hacker tratemos de sacarle más información. Dos líneas por debajo del salto en la 
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dirección 419BEO tenemos la instrucción PUSH 81B. Si convertimos el hexadecimal 81B en 
decimal nos da 2075. Y en el Resource Hacker este numero esta justo por encima de nuestro 
“bad boy”: 


EM Resource Hacker - Ch Archivos de programa*Hpmbcalc* HpmbtCalc.exe E = |) x| 
File Edit View Action Help 


3.3 String Table «| 
aa : s Compile Script | 


x 


B3 STRINGTABLE 
LANGUAGE LANG ENGLISH, SUBLANG ENGLISH US 
í 









2064, "Can't set host site to script engine." 
2065, "Can't initialize a new script object." 
2066, "Can't add named item to script object." 
2067, "The script engine is executing script code..." 
2066, "The script engine has returned from executing." 
£069, "The script execution thread has been terminated. " 
2070, "Invalid hexdecimal data string!" 
z071, "Invalid first hexdecimal operand!" 
¿DOTE >, "This copy is licensed to: £s." 
2073, "This copy of Hprbcalc is unregistered!" 
¿074 "Left Evaluation Period: Si days!" 
ZzO76, The register information you have given can't he verified. 
2077, "To do an operation, you must specify "First Operandi," 
2078, "To do a binary operation, you must specify + "Second Operand 
2079, "m "First Operandi" is invalid." 
i 
= zll DH 


iHemos encontrado al “good boy"! 


Pongamos pues un punto de ruptura en el salto 419BDC y cambiemos el valor de la 
bandera Z para que no efectué el salto. Reiniciamos, pulsamos F9, seleccionamos nuestro 
archivo de claves, introducimos nuestro nombre y hacemos clic en “Register Now". Olly se 
detiene en nuestro punto de ruptura. 
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- [CPU - main thread, module HpmbCalc] 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> CAE 


edd si KI + zi a 





641 SEDE 
B41 SBES 
66419BE5 
6641>9BEA 
6641 9BEC 
664198F1 
B41 9BF2 
BA419BFS 
Bad 19BF5 
B6419EFA 
B41 SEFF 
B41 59088 
BA419C81 
Bed 1 9Ce2 
Be41 9085 
Bia 195894 
pigda4 130m 
a4 190m 
pad 139m? 
Baa 196m 
B4 19002 
B41 90848 
Bia 19 5a8B 
B41 9080 
paa 19cnnp 
[i4 19caE 
paa 190r 
66419016 
66419013 
66419015 
66419174 
66419015 
B4 19021 
ala E a = 
BA41 9025 
Be419C24 
66419025 
aql 9026 
Be419C27 
Ped Pot 12772 


4 


15 


T 
D 


moa 
00 rm co 
CH 


SOOO S SOL SD DCH OI DI CS CP CH OH 
paa aa c co c en TTC TD en y CO 


Oo 
m c 


El 
20 


38 

38 

38 

28 

SB41 6C 
SECH 

TF BE 


28 
38 
38 
38 
38 
28 
a 


PUSH dp 


4n 
IBSSeeee | PUSH S1E 
ES 207 ra2ee 


E 
HeFFaB1ma 


CALL 

MOL ECR. ESI 
POP ESI 
RETN 

PUSH 36 


aesmaand | PUSH S1C 
rrazög 


POP ESI 


HOP 

HOF 

HOP 

HOF 

HOF 

HOP 

HOF 

HOP 

HOF 

HOF 

HOF 

HOF 

HOF 

HOF 

HOP 

HOL EA, DWORD FTR OS: CECHK+é6C] 
TEST EAH, EAS 


= reFFBlmna 


MOP 


MOP 


EE E ERES 
4613F40 
FCSLEBS4 ntdll.KiFastSystemCal LRet 
EE E ES 1. 
Ai 3F348 
Ha1LSFSScC 
Dpl2EOGA 
DpL2EOGA 


Ba419BDC Hponbt ale, 86419600 


BESS S2bit BLEFFFFFFFI 
32bit BLFFFFFFFF! 
32bit BLFFFFFFFEI 
32bit BLFFFFFFFF! 
32bit TEFOFABALFFFI 
HULL 


LastErr ERROR_SUCCESS (S6868008) 
Baanaag246 (HO, HE, E, BE, HS, PE, GE, LE] 


empty DH. HDDDDDDDDDHA Ce AO 
empty D. BARRAS 9me-4933 
empty r. 5261543514 Ge EE 
empty —-56.25325rBHla9855674585rBe-3714 
empty +UHORM 8851 aBmaanmasBp BEAeFCss 
empty -IMOüRM BBSB BelISFSSH DOE 
empty -UNORM Fers mamans BeBe 
empty -7.1329222B0rrl2z44d53638e-4426 
32140 ESPUO 


EDI 
Band Cond H B Ba Err B B EEE 7 A j 


BerF Prec HEBR,B53 Mask 111 





Volvemos a cambiar el valor de la bandera Z para evitar el salto y pulsamos F9: 


HpmbCalc g X] 


A 


The register information has been verified, 


resultado de nuestro parche: 


Esto suena bien. Hacemos clic en ‘Aceptar’ y comoprobamos en la ventana “About” el 
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mem TUER 





EE 


== Copyright & 2004-2009 Ka 
Hexprobe System www.hexprobe.com 


Llegados a este punto me paro un momento para reflexionar sobre el sentido de la vida 
esperando que ello me llene con energía suficiente como para seguir buscando (“Entre las 
dificultades se esconde la oportunidad” Albert Einstein). 


Volvamos al punto de ruptura y analicemos el código con más detenimiento: 
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Hunning 


ana 1*9BCB 
agna41*9BCC 
agna41*9BCD 
He419BCE 
He419BCF 
46841 9608 
He419601 
GSEAKRIZRE 
GSEAKRIZRE 
46841 SEDA 


Dal SEDE 
He41SBER 
4841 SEES 
He419BEA 
He41SBEC 
HE419BF 1 
adga1*9BF2 
ad41*9BF3 
He419BF5 
He419BFA 
adg41*3BFF 
Dal SCHH 
4641901 
Dal SCA 
aga 139083 
Dal OC Da 
GSEAKRISSE 
Dal SCHE 
Dal OH 
Dal OD 
46841909 
Dal SCHA 
Dal SCHE 
GISEAKISSIE 
4641 OCI 
Dal SCHE 
Dal SCF 
BE419018 
BES S015 


1r 
4 





SBF 1 

ES SSFEFFFF 
GL H 

GH FF 

r4 15 


BA dp 

63 120850600 
ES 9"D?raza 
SBCE 


ES HeFFalBa 
SE 


24 
LL 
sorrüazama 


- [CPU - main thread, module HpmbCalc] 


[e] File View Debug Plugins Options Window Help Tools BreakPoint-= 
el da] sl en] vw [E al ai m 


HOF 

HOP 

HOP 

HOP 

HOP 

PUSH ESI 
HOW EST, ECs 


TEST EAs, EAS 
PUSH =I 


PUSH 46 
PUSH 216 


HOU ECH, ESI 
CALL 

POP ESI 
RETH 


PUSH 38 
PUSH S1C 


HOP 
MOL EAS. DWORD PTR DS: EECRTSCI 


TEST EAs, EAS 
Ole CUNDT Unakesia ARANON 





Vemos que antes del salto hay una combinación de llamada/comprobación. Pongamos 
pues un punto de ruptura en la instrucción CALL en 419BD3. Reiniciamos la aplicación, 
rellenamos los datos del registro y cuando Olly se detenga en el Call, pulsaremos F7 para entrar 


en él: 
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- [CPU - main thread, module HpmbCalc] 


gr 44 X| Kill ee He) e E | oa 
TARENTE re 64:41 600098 MOU EAR, DWORD PIR Eër Ce 
41 USH 1 


op 
aagi 9066 6A FF E 
46419065 68 FBrr44ma | PUSH HpmbCalc.BB4drTTFB 





































ma4lonen||. Sø PUSH EAM HnmbEalc.BB44C278 
an4ieneE |. 6413925 ees MOL DWORD PTR FS:L81,ESP 

asáienys ||. SIEC asaqaab| SUE ESP, 403 

mn4lonvB||. 53 PUSH EBS 

aadisarc lf. 56 PUSH ESI 

pasidaro ||. 57 PUSH EDI 

Bo4i9nvE||. 3609 HOU EBS, ECH 

ansisasa ||: 33F6 “OR ESI ESI 

Bn4lens2 ||. Es Ads7ezeq 

aadisae? Mer TEST EAM, EAH HpmbEalc.B44C278 
an4139089 ||... 74 89 dE 

mo4lensB||. opp MON EDS, DWORD PTR OS: LEAS] HpmbCalc. 60441864 
añaisaeo ||; BCS HOU ECH. EAM Hombila Lo. a844C278 
mn4iensF ||. FFE2 74 DWORD PTR DS:CEDH+74] 

agn4lonss || i~ EB 62 

Bn419n24 || * 3306 “OR EAM, EAX HnmbEalc.B844Cc278 
aadisase |» ep ea PUSH 6 hTemplateFile = NULL 
6641938 Géi papapana | PUSH SA Attributes = NORMA 
66413130 6A 63 PUSH 3 Mode = DEEN EXISTING 
an4ienor |. Crea nceimaa MOU DWORD PTR DS: [EAX+1DCJ,0 

no4ienns||. sB43 64 MOU EAS, DWORD PTR DS:LEEXt641 

me4lennc ||. ep ea PUSH o eSecurity = NULL 
ag4ioace ||. 6A ea PUSH B ShareMode = 8B 
mo4ienga ||. és eamameSa |PUSH Gong Hocess = GENERIC_READ 
60415AB5 EA PUSH EAM FileName = "dp IED" 
acd 1 SAB FFiS 1893446) (GALE DWORD PTR DS: Lz&KERMELS2 bCreateF i len 
me4lenEec ||: spre MOL EDI, EEN Hpmbbalc.BB44C278 
mn4lengE ||. S3FF FF CHF EDIT. -1 

ensisaci ||.« 75 er 

añaisaca ||; 33ce “OR EAH, EAS HprbCalc.844Cc278 
66413005 || i. ES Eraseeea | IMF HpnbCalc.BG41S9BEl 

an4lonrn||» ep en PUSH B EBENE S EB = KL 
aaiae li. Es PUSH EDI [^ri - Baisrs84 
ms4lencn ||. FFi5 1493440 CABE DWORD PTR DS:LX&KERMELS2 LGetFileSize 
an4lennas||. saf oe CHE EAX, S 

BB419BD6 594424 BC Ou „EAX | HpmbCalc.G8B44dC278 


an4iennn||.- mFee ceaaeaan JE 
G41 9AER 30 palgaga | CHP EAS, 160 


EEE Se || oe GE eee es 
LEA EAH, 
PUSH B 





4641 S0EE » 804424 DC 

a641>9AEF . A Be pOverlapped = NULL 
[m3 1*9nmrF1 . 568 pButesRea 

Er 19mHFz . 804C24 1C 

Em 19m8F6 65 Güopdpoppop | PUSH 466 Bytes Tore 

ao413AFE ||. 51 PUSH ECH Buffer = 

4 










[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 


d = HpmbCale. aa44c279 


ead = 466 (1624, 1 
BH 1SF 354 


VE d dE d 


MEE 
=la x] 


=E? 


à f Registers [FPU] 

EAs Se44C27S HonbtC alc, BAAL Ze 

aM Dpl2EOGA 

B BE 

s VE 

' giadl3ara348 

HaLSFSSC 

BASF 384 

Ba1SF 384 
' B41 9068 Hppabt ale, 46419068 


BEBES 32bit BC FFFFFFFF) 

; BRIE 32bit BLFFFFFFFF) 

Baz 32bit BIFFFFFFFF) 

5 BH23 32bit BLFFFFFFFF? 
; BSE 32bit YEFOFABaALFFFI 

pena MULL 

LastErr ERROR SUCCESS (mamada 
Bpaanmag24e (HO, HE, E, BE, HS, PE, GB 
emptu H. HEI 7693933Be 
emptu H, DEBERES ZIE 
2 empty P/.b55085385563r08g090275265B: 
empty -6. 253257189855 Ce le 
empty t+UHORM 8654 DP EZ 


empty +UHORM eBBSB BA1SFSSA BH 
5 empty -UHORH FSF mamas E 
" emptu 6.929r75656H55ma55561Be 
3a d da ESH 
BEBE Cond B b A a Err BH 
HerF Frec NEAR, 53 Mask 


Vemos que se trata de una rutina bastante larga. A primera vista podemos identificar 
tres subrutinas; CreateFileA, GetFileSize y ReadFile. 


El CALL a CreateFileA abrirá nuestro archivo de claves: 


- [CPU - main thread, module HpmbCalc] 
[c] File "View Debug Plugins Options Window Help Tools BreakPoint-> 





Paused — | Glad] x] om] an] wll SD al a 


Ba4ignHemd|nrs 64:81 üamamaad HOW ES, DWORD PTR FS:r81 











He41 9066 
46841965 
Big 19060 
B41 SAGE 
igi 9075 
Be41 9076 
igi SAFE 
48419AFD 
igi SAFE 
28413430 
468419482 
agi SASF 
Bagi SA29 
He4 19056 
Bag 19030 
Bid 1 SASF 
Bg4 19092 
4684139494 
B41 9096 
4684194935 
48413490 
ag 1 SASF 
aig 1 SAAS 
Big 1 SAAC 
öid 1 SARE 
B41 SABE 
468413465 
4641 9AB6 
4841 SAEC 
46841 SABE 
B4 19nc1 
agi SACS 
Big 1 SACS 
öid 1 SACA 
Be4 1 SACC 
aig 1 SAC 
Big 1 SA03 
46841 SADE 
419808 
4641 3RE0 
üg 1 SAES 
Bg419nEB 
aig 1 SAEF 
Andi SOF 1 
4 


EAX=883FA118, 


ss 


6A FF 
68 FE774400 


SH 
6412925 mama 
SIEC 0304000 











Ha 
Hou DWORD PTR FS:EBI,ESP 
SUB ESP, 405 































53 PUSH EBX 
56 PUSH ESI 

Ee PUSH EDI 

GD HOW EEH, ECH 

33F6 OR ESI,ESI 

ES B4278288 

esca TEST EA%, EAK 

74 Ga JE 

5E10 HOW EDX,DWORD PTR OS: [CEA] 
SECS MOL ECH, EAS 

FFS2 74 OWORO PTR OS: CEDK+74) 

EB az 

SC HOR EAH, EAH 

64 Ba PUSH B 

62 Smnmaaaaa | PUSH 28 

6A a3 PUSH 3 

C790 Dca1666| MOL DWORD PTR OS: CEAX+10C1,6 
SE43 64 HOW EA}, OWORO PTR OS: [EEX+64] 
¿A aa PUSH A 






GH ma PUSH El 

E BEEEERSe | PUSH GO 
FF15 1993440 OWORO PTR OS: (28KERNELSS 
SBF METER 

CHF EOI, -—1 






















75 BT 
saca “OR EAH, EAX 

ES E7888888 | IMP 

EA aa PUSH & 

Ee PUSH EDI 

FF15 1493444 CALL OWORD PTR OS: (<&KERNELS2 
asFS aa CHF EAX, S 

294424 ac Mow EAS 


AFS2 cama JE 
30 6068156606 | CHP EAS, 106 
LEA EAs, 


204424 mc 
GH ma PUSH B 
CA PLUSH. FAX 


i 
E 
= 
ot 
WC 
RU 


reateF 


Honabt alc, DAC D 


Honbt alc, 168450931 


hTemplateFile = HULL 
Attributes = NORMAL 
Hode = OPEN ERSISTIHG 


pFileSizeHiah = NULL 
hFile = Bgi3F9s4 
GetFileSize 


Duer Lapped = NULL 
nButresRead - AASFA11A 


HULL 


= 
= GENERIC_READ 
Aoc mentes and Settings “usuarios *Nis dacumentas-hl| 


ECreater i lee | 


(ASCII "Ci Documents and Settinags--usuaria--Mis dacumentas--hpapikeu.bin.tzst"") 
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GetFileSize hace lo que indica su nombre: contar el nimero de bytes de nuestro archivo 
de claves para almacenarlo en EAX. 


BE4+19ACA || > 6A bä PUSH o [fF i= = ganga = HULL 


46841942 ch PUSH EOI hFile = maaadie8 
FF15 1493444) CALL DWORD PTR DS:E«&KERHELS2 EGetFileSize 
HP EAS, 5 ZS 





nägi SADS |f. S53FS BS 
Ba4i9nne |f. 894424 BC 
a6419ADA || «- arse Cäppppp JE 
ag4i9nEB ||. 3D B6B1B66B | CHP EAA, 106 






A64198ES || .~ BFS7 BDamaan 
BE413AREB TT. 804424 BL 


a MEA 
LEA EAs. 


Si EAX no es igual a 8, entonces el programa salta al CALL ReadFile. Pero esto no es 
lo que queremos puesto que ReadFile también hace lo que indica su nombre y leerá los bytes de 
nuestro archivo de claves, así que no queremos saltar por encima de esa rutina. 


Editemos nuestro archivo de claves para escribir en el 8 caracteres (letras o números) y 
así completar los 8 bytes. 


F hpapikey.bin - Bloc de notas 


Archivo Edición Formato Ver Ayuda 


123455786 


Pasamos por ReadFile pulsando F8 y vemos como lee los 8 bytes de nuestro archivo. 


Luego se mueven los datos a los registros para ser empujados posteriormente. Y así llegamos al 
CALL en 419B11: 








- [CPU - main thread, module HpmbCalc] E = |= | XJ 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> - [8&8] x] 


See dd) X Kill ee) Db all ag 















aagi SACO |f. FEI 1493448 DWORD PTR DS: LEZ2&KERHELS2 &GetFi leSize à| Registers (FPLJ 
BA419A0S |}. Sara 63 CHP EAR, 5 BHHSFEESEH ASCII "manuel" 
Ba4isppe ||. 594424 DL Hou » EAA ECH mal3EF3C 


86419008 || .~ arse canpa UB 


BE419HES ||. 3D See been EDX BEERRRES 







































CHF EAS, 160 
60419AE5 || -- are; BDaaana| JA Henbls le 2e412B0S ma DH 
G6419MEE |]. 804424 DC |LEA EAS, EBP 01 Sa 
6a4150F1 ||. 58 PUSH EAX pButesRead = BBSF6ESg EDI 66066160 
ma4isnrz||. &D4C24 1C |LEA ECX, 
doce M E EE ada SH e Byes vehead E (1624, 1 EIF 66419611 HpmbCalc. 66419611 
z D M er = j 
essisarc |. 57 PUSH EDI hFile = BBBBBI&E EE RUE RELIER 
0041350% ||. 855424 BL | MOU EDA, ; c 8 DS 0023 22bit BLFFFFFFFF) 
06419667 ||. 8643 ep HOU EAM, OWRD PTR DS: CEE +60] E B FS BASE Sai vFFDEBBBIFFF) 
604158080 ||. &D4C24 14 |LEA ECS, T 8 623 0008 HULL 
sie O LE d. 
Be eae 2L EET Do LastErr ERROR SUCCESS [aaa 
60415611 ES EAA2FFFF EFL aaageze2 (NO, NE, NE, A, HS, PO, GE, 6) 
66413616 BEFH HOU EST, EAX 
. STO empty B.BGBBBBmBBGBBN47692238c-4922 
depone eeu pe ine gout STi empty G., OBRAR 32989-4333 
eee Witt, Geen ST2 empty 7.SO210670126178412160-2505 
004198 1F SÉIL Copa MOU EDX, DWORD PTR DS: Late) HpmbCalc. BB45ABAC au Bue ën Gë Ga ROSEOCSS 
eee SCORE a EL STS empty +UNORM BASE GalsFees aaaemeang 
; e ST6 empty -UNORM F878 maaaezu aemanailE 
66415830 2643 66 HOU EAM, OWORD PTR DS: CEE +60] ST? empty E.9904195 09036 0397986 dd6 
00419833 60424 18 |LEA ECX, EEE es Pua? 
Cere cdi En STE cae FST 6088 Cond A AAA Ever GH aae a 
FEW @27F Prec HEDR, ES Mask Tele 
00419839 ES DEFSFFFF 
00413B3E SB5424 14 |MOU EDX, 
66413842 &E4C24 18 | MOU ECX, - 
DG 1 apad c. Gidd 15 LEO Foy 


4 





EIER 


Bi413Enma-HpmbCa lc. mad13Ena 


Llegados a este punto sabemos que el programa acaba de leer nuestro archivo de claves, 


y tiene el resultado almacenado en los registros. Existe la posibilidad que este CALL en 419B11 
compruebe esos datos con el código correcto. Pulsemos F7 para entrar en el CALL: 
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- [CPU - main thread, module HpmbCalc] 





[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 


354 1 3EBB 


Hma413EmBa8 
Hm413EBE 
6604135610 
66413E12 
66413E17r 
HE415E10 
66415E10 
66413E1F 
664135621 
660413523 
66413E25 
BE41SE27 
HE415E2C0 
Baa413E3B 
66413E35 
66413536 
664153E385 
66413ES3A 
66413530 
HE415ES0 
66413844 
66413E41 
60413546 
66413E4A 
66413546 
H4 13E4F 
HE415E51 
66413E52 
Hm413Eb5s 
60413554 
66413E55 
66413ESA 
HE415E56 
66413E61 
66413E63 
66413565 
66413569 
66413E60 
66413E6E 
HH415E6F 
6641S3Eró 
66413Er5 
HE415E76 
6641S5Erkc 
Bed 136 


[=| 44] X 


SSEC BL 
204424 og 


Gë 
BB35 #496446 


6A Be 
GH ni 


68 209245466 
ES FC HAD 


FFD 
DECH 
r5 1E 
GH BS 


6A H1 
BS 20924508 


SD4Cc24 16 


68 FCHB4B5aB 
51 


FFOÉ 
DECH 
ro H5 


GE 
2304 BL 


(ES 
Al FSHBdB58H 


SB4C24 84 
br 

205424 18 
S3FF 


B 
68 AFAB45R8 


bl 


eje Hu] > 


SUB ESP, ac 

LEA EA», DWORO PTR 3S:CESPI 
PUSH ESI 

MOL EST, DWORD PTR OS: C<2ADUAP 
PUSH A 

PUSH i 


CALL ESI 
TEST Es, EAX 
Jh 

PUSH 8 


CALL ESI 
TEST EAS, EAH 


POF ESI 
ADO ESP, or 


HOU Ep, OWORO PTR DS:L45B8F2] 
OWORD PTR SS: [ESP+4] 


F 


E Cn 
ac 3090444] CALL OWORO PTR DS: L«&HDURPISZ 


r4 66 
2364424 ES 
205424 BL 
bz 

or 


ET 
x assannaa 
FF15 3C9ø440| BABE 


57 
BB7C24 10 


TEST EAS, EAS 


JE 
HOU EAX, 
LEA EDX. 


FUSH ED% 

FUSH EDI 

FUSH EDI 

PUSH S883 

PUSH EAR 

DWORD PIR DS: ESSRDUBPISZ 
FUSH EDI 

"OU EDI. 


BDugPIS2z.CruptHegquireContestH 


ASCII "Hicrasoft Base Cryptographic Provider wi.a" 
ASCII "Hpmbcale Data Signature" 


z*HDUBPISZz.CrupthHequirecontestH- 


ASCII "Microsoft Base Cryptographic Provider ul, gin 
ASCII "Hpmbcalc Data Signature™ 


Honbt alc, #419616 


ADUAPISZ. Crypt Importkey 


ADWAPIS2. CryptCreateHash 





4 


Parece que el serial está encriptado...y que la rutina es llamada de 8 sitios diferentes. !! 


Call tree B E 


Called from Procedure Comment A 


HembCale. DAD HpmbCa lc. 641 5ERR AONAPIS32. CryptAequireContextA Sys 
HembCa lc. bE46A7E0 HDBPI32.CruptReleaseContest Sys 
HpmbLa lc. BDAE OC AONAPIS2. CryuptHashDat a Sys 
HpmbCalc. SE46E9F 8 ADAF ISZ. CouptllestroyHash Sus 
HembCale. DAF 1c? AONAPIS2. Crypt CreateHash Sys 
Hpmbia lc. DAF IEI HDUBPI32.CruptDestraukeu Sys 
HembCale. #6419611 ADVAPISZ, Crypt ImportkKey Sys 
HpmbCalc. Bd 19640 AONAPIS2. CryptlerifySignatureA | Sys 
kernel3z2. Llstr LenH Sys 
Unknown destinationtsl 





E 
Podríamos cambiar todos los saltos para llegar al primer RETN, sin embargo el código 


después del RETN tampoco parece ser prometedor. Así que vamos a poner un RETN en la 
primera línea, 413E00, a la vez que ponemos un punto de ruptura: 
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- [CPU - main thread, module HpmbCalc] ` — -|| x 
[c] File View Debug Plugins Options window Help Tools BreakPoint-> EJE 
a 44 sl Kl bai Sei adi a 
S3EC AC SUB ESP, oC " 
Assemble at 00413E00 x| 
- AOWAPIS2. CryptAcguireContentA 
RETH ¥ 
ASCII "Microsoft Base Cryptographic Provider ul, Ri 
ASCII "Hpmbcalc Data Signature™ 
v Fill with NOP's pa | {RADWAPIS2, Crypt AegquireContextA> 
66413E25 6A al PUSH 1 El 
mnadisEzr 66 ¿05924566 | PUSH ASCII "Hicrosoft Base Cryptographic Provider ul. Bi 
Ae4 1 SEC BD4C24 14 LEA ECR 
a41 3E36 68 FCAÑ4566 | FUSH ASCII "Hpmbcalc Data Signature™ 
664 13E35 51 PUSH ECE 
d4 3E36 FFOS ESI 
i4 3E38 SSCA TEST EAs, EAS 
mna413E3H YE B5 
Hg 13E3C 5E POF ESI HpmbCa lo. 40419616 
He415E30 5304 ac HDD ESP, Ac 
66413E40 cs RETH 
66413E41 Al Feae4See | MOL EAH, DWORO FTIR OS: [4EAGFS] 
60413546 BB4C24 B4 HOL ECH, DOP PTR 55: TESP+41 
Hg313EA4H cr PUSH EDI 
66413E4E 205424 14 LEA Ex, 
6641S3E4F 33FF ADR EDI, EDI 
66413E51 52 PUSH EDO 
66413E52 Cp PUSH EDI 
Hg 13bE53 Ge PUSH EDI 
Be413E54 cH 
6614 13E55 62 H4Haasaa 
661413ESA 51 E Las 
Be415E56 FFiS 3896446) CALL DWORD PTR OS: C<£ADUAPISZA ADWAFISS. Crypt ImportkKey 
Be4+15E61 SSCA TEST EAs, EAR 
Hg 13EB63 r4 66 JE 
He41 3E65 BBd4d24 D MOL EA, 
Be415E69 205424 DC LEA EDs, 
Be415E60 52 PUSH ED 
A641S5E5E 5r PUSH EDI 
HE 13EG6F De PUSH EDI 
Hpdl2E cp 62 ASS | PUSH 26063 
HmddisEr5 5 PUSH EA 
mdgdi3Er6 FFiS 3Cc2m448| CALL OWORO PTR DS: C<2ADUVAPISE ADWAFIS2. CryptCreateHash 
AB4 13SEC or PUSH EDI 
Hg 13ErLD SBrC24 ic HOM EDI, 


HE 


e 2 mea d ZE mm 


Hacemos clic en “Assemble” y en “Cancel”. 





- [CPU - main thread, module HpmbCalc] 





HEB413EB1 
Hma413EB2 
Ed 13Enm3 
B41 SER" 
Hm413EmBa8 
4641 SEE 
664135610 
604135612 
66415Elr 
66413E1C 
66415E10 
HE415E1F 
66413E21 
66413E23 
60413525 
B41 5627 
Ab41S5E2C 
6641 3ES35 
660413535 
660413536 
66415ES5 
6641 3ESA 
66041S3E3C 
66441 3ES0 
66413E46 
66413E41 
60413546 
H4 13E4H 
mnddiaE4dEB 
66413E4F 
66413E51 
66413E52 
66413E53 
664153E54 
66413ES55 
H4 13E5H 
B41 5E56 
66413E61 
Hnm413Ee3 
6604135665 
604135669 
6641 3E6860 
HAL 3E6E 
6641SE6F 
HE415E78 
66413Er5 
ged 13E ré 


4 


[c] File View Debug Plugins Options 


Window Help Tools 
EH =+: ee] de] 9: 


RETH 
HOP 

op HOP 

204424 66 LEA EA}, DWORD PTR SS: [ESP] 

56 PUSH ESI 

SBS5 6498446) MOU ESI, DWORD PTR DS: [<£.ADUAR 

6H Ba 

6A ai 

68 20924508 

eS FCAB45 an 

FFD& CALL ESI 

esca TEST ERX,ERX 

75 1E 

6A as PUSH 8 

6A ai 

68 20924508 

204024 16 

66 FCAG4500 


FFOE CALL ESI 
abb TEST EAS, EAH 


r5 B5 
GE POP ESI 
poze Br ADO ESP, GC 


Hi FeAe4sea | MOV EAX, DWORD PTR DS: [45A6FS1 
SB4C24 64 = HOW ECH, DWORD PTR SS:LESP*41 
57 PUSH EDI 

805424 18 |LEA EDS, 

33FF HOR EDI,EDI 

PUSH EDX 

PUSH EDI 

PUSH EDI 


5H 

68 HdHad5aun 

51 PUSH EC 

FEIS 3890446) CALL DWORD PTR OS: C<2ADUAPISZ 
TEST EAs, EHS 


JE 
BB4424 nua MOLI EAS, 
LEA E 


B0S424 BL 
52 PUSH 


Em PUSH EDI 
Br PUSH 
SE D'22ppopp | PUSH 


PUSH 
FFIS 3090440 


raria 


DWORD PTR OS: LC&RHDUBPIS2 


Y pulsamos F9: 


BreakPoint-=> 


ADNAPISZ. CryptAcgu ireConterxtA 


ASCII "Hicrosoft Base Cryptographic Provider vi." 
ASCII "Hpmbcalc Data Sianature'" 


<&ADUAPIS2. CryptAcgu ireContextA> 


ASCII "Hicrosoft Base Cryptographic Provider vi." 
ASCII "Hpmbcalc Data Sianature'" 


HpmbCalc. #6419616 


ADAF I Se. Crypt Importkhey 


HDBPISZ.CruptCreateHash 
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HpmbCalc | X] 


D o. 
. 1 ) The register information has been verified, 


Este parche también nos lleva al “good boy”. Hacemos clic en “Aceptar” y veamos lo 
que nos devuelve la ventana “About”: 


About Hpmbcalc E d 





Hexprobe's Multiple-Precision Hex Calculator 
Hpmbeale Version 4.22 
Copyright] 2004-2003 Hexprobe System. 





Followings are product contact points: 


Ema 





Homepage: http://www. hexprobe. com/hpmbealc/index, htm 








Si ahora guardamos el nuevo ejecutable parcheado y volvemos abrirlo, puede que se 
venga a bajo. Tal vez no en la primera vez pero si en sucesivas veces, al intentar ejecutar el 
programa, este se cierra de forma inesperada. Esto puede ser devido a que en algün lugar del 
código se esté llevando a cabo un segunda comprobación del serial. Podríamos intentar buscar 
esa comprobación y parchearla pero esto nos llevaría una eternidad. Lo que si haremos es un 
cargador para nuestro programa utilizando para ello dUP. 


Abrimos dUP, seleccionamos un nuevo proyecto y cubrimos el “Patch Info”: 
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Patch Info lol 
castor SSS 


[ICI S| 
wei 
asi el 

= 


For more patches contact with, 
manuel. rey vilarógmail.com 





Pulsamos “Save”, hacemos clic con el botón derecho sobre Patch Info y seleccionamos 
“Add” -> “Offset Patch”: 
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dUP 2 - *New Project* > [n] x] 


Project Module Info 


Patch Script | Settings | 


et tC 
Edit [F2] 
Add + [Search and Replace Patch] 





Remove [DEL] [Offset Patch] | 
, Se ee E [Offset Patch *DLL] 
mport multiple File attachments 
^ ^ [Text Patch] 
Copy [CTRL+C] [Registry Patch] 
Paste CIR 
aes | " [Attached File] 
H item LIP ALT |--LLIP 
D x na [Get Registry value] 
Moye item DOMM [ALT ]--[DO WM] 
[File Check] 
[Registry Check] 
[Event] 


Plugins 
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dUP 2 - *New Project” 


| Module 















TRL 


Rt 


Marcamos la segunda línea y seleccionamos “Module” -> “Edit”: 
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Offset Patchdata B 2 [rs | x| 


Target File 
File: a | 
Old Filesize | 00175407 Mew Filesize | 
Patchmode 


CRCSZ | AZEDAESO Enable CRC32 check ( File Offset 


CT Dont check original (old? bytes [] Try patching used file 
[ ] Keep original file time O] Fix PE Checksum 
Cl Disable 440164 FS Redirector 












( virtual Address (vA) 
CH Relative virtual Address (FA 






Compare Files 


Add and Edit 





Original File: 
Compare 


Patched File: 








Offset 
00413E00 23 MC 
00413E01 EC 30 Original Byte 
OO4153E02 UL 20 


Patched Byte 


n dr | 
Clear List | 


Mem heck [for Loaders] 


O Enable MemCheck — ? | 
Memory Adress | 
Memory alue: | 


H 
Up ema 
Down | : 


File to load in Gll'edba 
[TL rincon cen. IÉ SS H 


Los datos del “Offset”, “Original Byte" y “Patched Byte" son tomados de Olly: 
















MIELE led. 


Calor 








- [CPU - main thread, module Hgmbt alc ] 
Live — Window 


= uir I 
! 4 [| 
Hj ear big 
wl RI gd r : 
PTA | — 
fk Mar | 
L 
bar 






Help Took 


Jaj = 









FF FA wth HOP: [Ame] Cancer | 


Después de cubrir el “Offset Patchdata" pulsamos “Save”: 
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dUP 2 - *New Project 


| Project Module Info 


New | | 





Open 
Save 
Save As 


hpmbc422.exe 





Close 


Create Patch 
Create Loader 


Recent H 


Exit 





(*) simple loader 


CH loader installer 





Pulsamos en OK, le damos un nombre al cargador y guardamos: 


Guardar en: | {E} Escitoto el Die 


Docu mentos b odi e 
recientes 


Escritorio 


hM is. | 


documentos 








mam” 


4 
Mi PE 





Mrs siting de red Tipo: [EXE File DI 


Cancelar 





Ss 
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8.3 Bypasear un serial en delphi 


Descargamos SolSuite Solitaire de internet. Instalamos y ejecutamos el programa. 


[SolSuite 2012 Trial ¥ersion | J xj 


This is day 1 of your 30 days 
evaluation period. 


Trial status 


ü D 30 
Activate | Try More | 


Ze 
=> 


ALE SFREE Solsuite Solitaire 2012 v12.00 [Klondike] [ [Trial Version] 





Game Statistics Favorites Appearance Hinks Tools Help 


Después de cerrar todos los pop ups conseguimos acceder a la barra de menus. Hacemos clic en 
“Help” -> “About”: 


About SolSuite 2012 E xj 
Solsuite Solitaire 2012 - Version 12.00 - Dec 10, 2011 
Graphics Pack installed: Mo Check For Updates: 











This product is licensed ta: 





Fallow us on Facebook 








Copyright (c) 1998-2011 Tree Card Games and its licensors. Al 
rights reserved. 


This computer program is protected by copyright taw and 
intemational treaties. Unauthorized reproduction or distribution of 


thiz program, ar any portion of it, may result i in severe civil and | 
‘criminal penalties, and will be prosecuted to the maximum extent, OK 
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Dentro de la pestaña “Help” vamos intentar activar el programa: 





Statistics Favorites Appearance Hinks Tools 


7 e Y 


Solsuite Website — Check For 





















Buy Activate 










Solsuite 
Help Solsuite Solsuite Mews E Updates 





Introducimos un nombre y un código de activación: 





Activate SolSuite 2012 vers. 12.00 l | X] 


When vou buy SolSuite 2012 vau receive the Activation Code that will 
allow vou to unlock the trial version to become the Fully-Functional 
version of SolSuite 2012. 


Type the Activation Code in the box below: 


Activation Code: 
(for Version 12.00) 


Mame: 


(Exactly as it appears on the Activation Code) 


manuel 


Activation Code: 


[121212121212 





IF vou don't know our Activation Code, click here: 
Buy SolSsuite 2012 new! 


Hacemos clic en “OK” y aparece nuestro “bad boy”: 


x 


i This is not a valid Activation Code, please try again, 


Please pav close attention when entering your Mame and Activation Code, They need to match EXACTLY the ones indicated in the order 
notification. 


Pay attention also that the Activation Code you have is valid Far Ehe version number of SolSuite you have installed, 
(You can see what version of SolSuite you have in this Form itself and also by opening the ‘About Solsuite' command on the Help menu.) 


Normalmente cargariamos ahora nuestro programa en Olly pero sabiendo que se trata de 
un programa en Delphi lo cargaremos en DeDe: 
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DeDe 3.50.02 (c) 1999-2002 by DaFixer 


File Bumpers Tools Options About 


ärch de pragrama*5 alS ue, al5 uite. | el Process | S ülSuite 





| Classes Info | Units Infa | Forms | Procedures | Project | Exports | 








SeltPrt DFM Offset | 4| Version unknown version? 
9.0 0082D1E8 00000000 Unit List [from PACKAGEINFO) 
wé 0 DD41BAS8 ` 00000000 "uem 
ei .03 00599400 00000000 Active 
sc 04 DüzzD15C 00000000 EE 
eos 00528108 ` 00000000 RECETTE 
wä 00408920 0000000 E e 
sé 1 00648194 00000000 M 
ppE nts 

AE DD41COD4 00000000 Branca: ds 
ME OOF7EFOO 00000000 Buttona 
"$2 00592024 — 00000000 C AdvancedForm 
sé 2 00401364 00000000 c animat 

C App Classes 
wé 22 DDS4EECB ` D000000Ó SEET 
2 DO4DABBC 00000000 C App Constants 
we 27 00483120 DODODODO SE 

C App GraphicsPack 
ef DO4CESB4 ^ 00000000 CN Stiet 
sé KEN UOAE D 2 8 O0000000 L App 5 electlmages 
sch 21 00528F64 ooo00000 Ge usic 

| App Uti 
wé 32 00814480 0000000 Cave 
e 33 007c1310 ^ OO000000 C Bitmap32 LInSharpFilter 
VR 00404844  DODDDDDO GE 
 Btmap aals 

wé 2 DD4B3614 ` 00000000 C ColortombeB os 
Sé A 00431500 00000000 ERE 
wA A DD4EECD4 ` O000000Ó BEZE 
sé A7 0649200 00000000 LG Edit 

E FullScreen 
is DD4DABBE 00000000 C HtmlHIp 
ef OO5D39E0 ` OO000000 C IconDraw 
$$ .501 007F8068 ` 00000000 C Label Link 

un JL Panel 























"n 








Una vez procesado, hacemos clic en la pestaña Forms y buscamos TfrmRegCode. Esta 
es nuestra ventana de registro (si dudamos hacemos doble clic). 
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4 DeDe 3.50.02 (c) 1999-2002 by DaFixer 
Abaut 


[E:\Archivos de pragrama*5 al5 uite sS olS uite. -| 


Fie Dumpers Tools Options 


SolSuite 


| Process | 





Classes Info | Units Info || Forms | Procedures | Project | Exports | 





TirmMultPlayershiode  OUDAC4 CS = 
TirmoMultiPlayersStatis... OU&C4D16 
Tim ews UDACSSF a 
TimU pen ame Des 754 
TitmUptions DLE 3990 
TitmU ptions4utoplay DOS EABSU 
TirmUptioneStoreFolder ` UUAE DUD 
T fri rder DO4ER 704 
ThmürderCD Ram 00617 4564 
T fri rderE wt orm 00618708 
ThmürderH egFarm DUB SC4FU 
TirmUrderU parade 00661F18 
TimPlaperz 006843978 
TimPlayerz 006891488 
TitmPlaversChooselm... 00691825 
TirmPlaversHename DDOBSADFUÜ 
T irse "EE 


OUB SSC 





T frmBH ES 
TimAegLoded 
TimAegCodellparade 
TimRegistr 
TimReminderlparade 


006 Hi 
(UDO 21 
ODBATLFA 
0064250 
üDBBS3LE 





bject frmAeglode: T frmAeglode 
Lett = 314 
Top =114 
HelpContest = 
Barderlcons = [biSustemMenu] 
BorderStule = bsDialog 


2007 


Teel 


Caption = 
ChentHeight = 413 

Chentyy'idth = 408 

Color = clBtnFace 

Font. Charset = ANSI CHARSET 
Font Color = chy indow] ext 
Font.Height = -11 

Kont Mame = 'T ahoma' 

Font. Style = [] 

OldCreateOrder = True 

Position = poS creenCenter 

Un Jose = kom Jose 

Un reate = FormCreate 
OnShow = Forms hor 
FigelsPerlnch = 96 


TextHeight = 13 
object IblÚrderl: T Label 
Left = 12 


at 


A continuación vamos a la pestaña “Procedure” y buscamos TfrmRegCode en la 


ventana de la izquierda: 


¿ADeDe 3.50.02 (c) 1999-2002 by DaFixer 


File ` Dumpere Tools About 


[E:MArchivos de pragrama*S olSuitesSol5 uite. ` e el 


Options 


5 0l5 uite 


Process | 


Classes Info | Units Info | Farms (FS Project | Esports | 





OpenG ame Tir penG ame 
Options TirmUptions 


Tir ptions4utoplay 
Tir ptioneS toreF older 


Options Autoplay 
Options StoreFol... 


Order Tirmbnder 

Order COR om ThrmUrderlLO Rom 
Order Exit. Farm T frm rderE sitF orm 
Order HegForm Tm rderFiegF orm 
Order Upgrade TirmOlrderllparade 
Players TimPlaperz 


TitmPlayersChoosel mages 
TfrmPlapersHename 
TrmPlapersShewlmage 
ctr | 


Players Choose_|... 
Players Rename 
Players Show [m... 
Bb 





EE upgrade - Ta CE 


regcode3 TimAeglodes 
regcode+ TimhRegCoded 
Bee ThrmA egistr 

sree llenar Ada T eelst, dar! lear 





TimRegCode 

| Events | Controls | 
btnHelpeClick D080 DL 
btné&nnullaClick. 0080 S640 0076 
FormS how OUSD EBA DOCOF 
btnBuyClick 0060 S6CC 0012 
btnCancelClick 00809720 0015 
btnHelpL lick. 0050978 0013 
FormCreate 008039740 0011 
kommt Jose OU8D SCF 4 0010 
edi Change 0080907 4 0012 
_PROC_O08D9D28 00809018 FFFF 
- PROC_0080:9046 00809046 FFFF 
PROC üUSDSEBZ DOS SEB? FFFF 
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Si nos fijamos en la ventana de la derecha parece que el autor del programa está 
intentando liar las cosas. Vemos que no hay ningun btnOkClick y sin embargo un 
btnHelp2Click y btnHelpClick. Veamos lo que hay en el primero de los dos en la dirección 
8D8CBC. 


Abrimos Olly, cargamos el programa, vamos a la dirección 8D8CBC y ponemos un 
punto de ruptura: 


DN nnmis 


File View Debug Plugins Options Window Help Tools BreakPoint-> 
44 Si KI) bat lS eg 


CPU - main thread, module SolSuite 


55 PUSH EBP 










































BES0SCE0 . SBEC MOLI EEP, ESP 

HG Pr , BY 10666666 | MOL ECs, 10 

BRSDSCC4 > 6H BE PUSH El 

BRSDSCCE . 5H HE PUSH o 

BESDSCCS » 49 DEC ECK 

BeSOsSccs LoT ES NG 

BeSOSCCE a Sil PUSH ECX 

DD . 53 PUSH EBA 

BES0SCCO » 56 PUSH ESI 

BRS0SCCE a EE PUSH EDI ntdll.707928738 
BeS0SCCF . 5945 E4 HOL EAS 
BRSDSCO2 .  33LH ADR EAS, EAs 

HTC DA » 55 PUSH EBP 

BeSOscos . ÉS BESESDAR | PLUSH 

BeS0SCOA . 8&4: FFS8 PUSH DWORD PTR FS: TERA] 
BeS08CO0 . 684: 5928 MOL DWORD PTR FS: EEBR1,ESF 
HO EG . 2055 94 LEA ED, 

BEASOSCES . SB45 Ed MOL! EAA, 

HASOSCES . SBSE 9463888) MOL EA, OWORO PTR DS: [EA=4+3394 ] 
BRS0SCEC . ES HreóEBSFF 

BeSOSCF 1 . 5645 94 HOU EAS 

BESDSCF4 . 2945 96 MOL) EH 
BasDscFr . %SB45 98 MOL EAS, 

BeSOSCFA . SBCA TEST EAs, EAS 

BeS08CFC a qu BE 

BES0SCFE . SSES B4 SUB EAS, + 

44205061 . Dn MOL EA, DWORD PTR OS: CEA 
BESDS08S > 8508 TEST EAs, EAS 

BESDSORS ve TS 16 





BeS0S087 . SE45 Ed MOL! EAS, 
m . SBSH 9403006 MOL EA. DWORD PTR OS: CEAK+S94] 
4 


Command +] 
“Analysing SolSuite: ¿6503 heuristical procedures, 9304 calls to known, 14206 calle to guessed functions | 


Reiniciamos Olly, introducimos un nombre y serial en la ventana de registro y Olly se 
detiene en nuestro punto de ruptura: 
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File View Debug Plugins 
[e| dq] X 


Window Help Tools BreakPoint-> 
oF +] EE] 


Options 
b- | Il 


=10/x] 





CPU - main thread, module SolSuite 





55 PUSH EBF 






























ARSOSCED SBEC MOL! EBP,ESP 
ARASOSCEF ES 10666666 | MOL ECs, 1D 

DOC Al 6A aa PUSH d 

ABSDECCéE 6A aa PUSH & 

ABSDScces 49 DEC ECH SolSuite. BBÉS5E9S 
aaspecca 7S F9 Dirk 

AASODSCCOB 51 PUSH ECH SolSuite. ABES5E9S 
Baaspsccc ES PUSH EBR 

aaepnaeaccn Ee PUSH ESI 

ABSDSCCE PUSH EDI 

BaspeccrF 2945 Ed MOL) ,ERX 

aasbscoz 3306 HOR EAN, EAX 

ABSOScO4 55 PUSH EEP 

Baspscps PUSH Sol Suite. B6SO95AS 

AASODSCoA 6d: FFS0 PUSH DWORD PTR FS: CEA 

ABSOSCOo 64: 2920 MOL DWORD PTR FS:[CEAS], ESF 

ABSOSCEO £D55 94 LEA ED, 

ABSDSCES SB45 Ed Mow EAH, 

AGSDSces egen Odp2ppp HOW EAS, DWORD PTR OS: CEAH+S94) 

BASDSCEC ES HreEBESFF 

aasosScF 1 SB45 94 Mow EAH 

ABSODSCF4 5945 Op HOL EAH 

BaspnescFr 5645 Op MOL EAH, SolSuite. 06474947 
AASODSCFA esca TEST EN, EA] 

AASOSCFC r4 B5 

ABSOSCFE S5ES 4 SUB EAM, 4 

Elke egan MOL EBX,DWDRD PTR DS:LrEBEJ SalSuite.üamspssgc 
ABSOSDAS esca TEST EAS, EAH 

AASOSOAS 75 16 

ABSOSDaAr 5645 Ed MOL EAR, 

m egen Odp2ppp nou EAS. DWORD PTR DS:rEmBgT294] 

4 


Command +] 


| Break pont at Golf ute (DOT SC BE | 


A continuación vamos a tener que hacer un rastreo largo de código incluido unos 
cuantos loops. Hasta que finalmente lleguemos a la siguiente instrucción TEST AL,AL: 


- [CPU - main thread, module SolSuite] 


[e] Fie View Debug Plugins Options Window Help Tools 
el 44 Si KI See) He) DE | e 
2095 S4FFFFF| LEA EDS, 
BESOSF SF BH Hi 
DOUCE 41 ES Dec 2406 


BHSDSF 46 . SE4S FH 
BESDSF49 . Eb 
5645 F4 
5H 


BESDSF 4A 
ABSDSF4D . 
AeSOSF4E . 3353 
BESDSF ER . BH Basespes | MOL EDS, 
BESDSFES . Be 5186648646 | MOL Ena, 2) 
BHS0SF5A ES 19AAD1FF 

RUM TEST AL, AL 


DIERFE 
BFS4 1961684 JE 
HEASDSFEr 2095 B5BFFFFF|LEH EDs, 
AeSOSFED ES ERSSS0Re | MOL. EB 
ES FSB4D01FF 


Baspsrza CRLL 
ES 646666606 | MOU ERE, 64 


HBSDSF de 
GU 4CFFFFF|LEH EDs, 





DDGDGE 20 


BESDSFE1 
BHSDSF Ge 
amspsras 


aaspsr rc 
MOL AL, 1 


BreakPaint- > 


SolSuite. bB6S5E9S 
ASCII "solsuite™ 


ASCII "alizreé&sww" 


le dx Ix 


AeSOSFSE 
BESDSF su 
BESDSF 9S 
BRSOSF 3S 
BHSDSF 3S 
BESDSF SF 
ABSDSFAS 
ABBSDSFAS 
BESDSFAS 
BESDSFAB 
BeSOSF AE 
RARASOSFAF 
4 


Ba hi 
ES 6667268 
33CH AUR EAS, EA 


MOL, ev ERA 
AUR EAS, EHa 
HOL 


» EAS 
e 46596088 
HA 


WAIT 
HU FAZ. Dip PTR SS:TERP-281 
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Después de de unos cuantos tests, llegamos a este que llama la atención. 


punto de ruptura en el salto que hay a continaución y ejecutamos el programa: 





- [CPU - main thread, module SolSuite] 


[c | File View Debug Plugins Options Window Help Tools BreakPoint-> 


| 44) x] > Uu: RII: =: 


Ponemos un 


=O] x 
le Xx 


BESDSF49 
BESOSF4H 
BESOSF40 
BESDSF4E 
Dok 
BESDSFSS 
BESOSFSA 
BESDSFSF 


BaASOSF6r 
ABESOSFEO 
DOUCE rz 
BaapsrFrr 
Baspsr rc 
DOUCE GL 
DOUCE Ge 
DOUCE Go 
DOUCE GE 
DOUCE Op 
DOUCE 33S 
DOUCE ss 
DOUCE 38 
BeSOSF SF 
HaSDSFAS 
ABEASOSFAS 
DOUCE 
BEASOSFAB 
AEASOSFAE 
DOUCE OF 
DOUCE BZ 
DOUCE E4 
DOUCE De 
ARANSFRO 
4 


DH 
5645 F4 


DH 
2309 
EH Basespan 
BS 31006064 
ES 19RAAD1FF 
S4Ce 


DEG 196188 
Ee SAFFFFF 


EG 
ES FEB4D1FF 
ES 64500000 
ES SSEFDIFF 
2095 4CFFFFF 
Ba oi 
ES £ES728646 | CALL 
2sca “OR EA}, EAX 


MOL] 
AUR EAS, EAK 
HOL 


r EAS 


ERE 
46590000 
Bn 


ASCII "salsuite" 


ASCII "aizr/&3ww" 





FST 
ECH 


T 
3 
|; empty 3. 
a 
d 
1 


5 empty 


Cambiamos el valor de la bandera Z para que Olly no tome el salto y pulsamos F9: 


SolSuite 2012 upgrade . x] 


You have entered an Activation Code for Upgrade only. 
To activate SolSuite 2012 you must enter Ehe Activation 
Code of your previous version (installation). 


SolSuite 2006 v6.7 or higher | Previous versions 


Insert here the Activation Code of SolSuite 2006 
version 6.7 or higher version, 


(Exactly as it appears on the Activation Code} 
Name: 


pa 


Activation Code: 


—— 





oma | 


o HOH 
o Bana 
o BESA1BZS 


a1B53F3H 
äi i SECSS 
äi i SEDSC 
BIBSSFSe 
äi SEFA 
DOUCE eil 


Hab 
BEBE 


ono 
Lo oae na cn 
El 
x) 
Pú 
D 


LastErr 
[mimm 46 


emptu H, 
empty 
empty 


empt y 
empty 


empty 4, 


2128 Co 
lare Pr 


ASCII "man 
ASCII "Arc 


ASCII "Arc 


SolSuite, E 
32bit BHLFF 


| 32bit BFF 
23 S2bit BIFF 
3 32bit BUFF 


32bit PFFL 
NULL 
ERROR SUCC 
(NO, NB, E, E 
5218116504€ 


20039155564 
.2632369985E 


435303944455 


»884604 76526 
.Gl29r28952r 
.251b548BdgmiaE 


04992045837 
nd o 6 o A 1 
ec NEAR, 64 


Esto no es del todo cierto, pero vamos por buen camino. Hacemos clic primero en 
"Cancel" luego en “OK” y dejamos que Olly corra hasta nuestro nuevo punto de ruptura: 
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- [CPU - main thread, module SolSuite] 








BESDSFE? 
Dok en 
aaspsr re 
HESDSF de 
DOE rc 
HESOSFS1 
HESDSFS? 
BESDSFSS 
BASOSFSE 
aaspsr asd 
BESDSF IS 
DOE 3S 
Dok 9S 
BESDSF OF 
Dok Uz 
Dok OE, 
BesSDSFAs 
HESDSFHE 
BESOSF AE 
BeSOSFAF 
BESDSFBS 
Dok EA 
BeSDSFEY 
HESDSFBH 
Dok EI 
Dok ca 
BBSDSFC1 
HESDSFCS 
HESDSFCS 
aasparcB 
BESDSFCO 
ARADSE TIFA 
4 


[e] File View Debug Plugins Options Window Help Tools BreakPoint-> 
ex 44| X 


dL 


~-BFS4 19816668 
2095S BBFFFFF|LEH EDS, 
BS EDD | MOL ERA 
ES FSB40iFF | TARE 
BS 54640006 CALL EH&R, GA 


5095 4CFFFFF LER ELT 

BH Hl 

ES GEZ PALL SolSuite.GBnDFEFC 

aa3Cca ADR eS ERA 
GE MOL DWORD PTR SS:rEBF-281 

23CH AUR EAR, EAs 
2945 D MOLI 


MOL) ¡49530098 
CHF 


FILO 

FADD 

FSTP 

WAIT 

MOU EA}. DWORD PTR SS:EEBP-281 

ADO EAs, EAs 
MOL 


ej lu Al > 


Snes. nr IFA ED. 





T E 3 


ASCII "ai2r&é3uw" 


Quitamos el punto de ruptura (ya que no estaba situado en el lugar apropiado) y 
seguimos ejecutando código pulsando F8. Cogemos el salto y unas lineas más abajo aparece 


otro TEST AL, AL: 





- [CPU - main thread, module SolSuite] 
[e] File View Debug Plugins Options Window Help Tools BreakPoint-> 


edd Si KI bat aal al oa 










Get 
DL IO 
BESO SHS? 
maspasass 
pnaspesas 
paapaeaasr 
ASD SH 94 
DD 
mnaaspsmsBg 
paapasadH1 
BESO SHA? 
BESO SAC 
HaSDO SHB 1 
passage 
BESO SBR 
BSD 1 
SEIT 
pnaspesa s 
DL IOC 
BeSO 9601 
AaASOSADS 
pmaspesane 
BeSDIEDS 
BESO 3606 
ABSO SHES 
HeSDIHEE 
BASOSHES 
BESO SEB 
ABSO SHEE 
BASDO IHF 1 
eee 

DEE 
: 





> 8645 Fe 
. BB 


.- BF&5 1581888 









GPA, F4 
5 


BA Bese sO 
Bi Hl 
BS 31000006 
ES DFHSDiFF 
S458 












S095 4BFFFFF 
BS Eat 
ES BBESDIFF 
BS 64608808 
ES I9EEDIFF 
2095 SCFFFFF 
Ba oi 

ES 346620068 


Ed 
HS Sshee 





MOLI EAS, 
INC DWORD PTR OS: CEAX+SA5] 
aOR EA, EAS Ser 


MOL! 
AUR EAS, EHa 
» EAS 






ann Fn*. Fat 


40598000 
D 


ASCII "salsuite'" 


ASCII "aizré3uw" 


al 


La ültima vez que pasamos alrededor de un TEST AL, AL, apareció un cuadro de 


dialogo por eso es lógico pensar que aquí suceda lo mismo. Ponemos pues un punto de ruptua 
en el salto 8D909B,y ejecutamos la aplicación: 
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- [CPU - main thread, module SolSuite] 









[c] File View Debug Plugins Options 
= 44x| j € 


25645 FH 
5H 


v" 


Hiaspsdss 
Baspsds3 
Biaspsds4 
alatan 


^ 



























BESOSESE . 

BESD ISD . Bl Hl MOL CL, 1 

BESO SSF . BS 3186060648 | MOL! EAx, 31 

BESOSE 4 . ES DFHSDiFF | TABE 

5515155] e CH TEST HL.HL 
= BFSE 15B1a888|.INz 

BESO SHH 1 , | S095 4BFFFFF 

ISERP , | BS EDU 

BESOSEAC = | ES BBESDIFF 

BESO IB 1 , [ES 64880888 

DOP , | ES 1SEEDIFF 

Dora . | 8095 SCFFFFF 

Biss 1 .](BHB bl 

Baspsdc3 = | ES 34662800 

BESDIBCS , | 25645 

DOP . | FFG 

Dora) . | S308 EA, EH 

BESO IDS , | 3945 EH LU 

Dote . | 3368 EAM, EHa 

BESOSEDS . | S945 Dnm M 

BESDIE0B = | Cr4s D4 

BESOI6ES e | 5370 EH 

BESDIBES wel CH 26 

DOE > |DB45 Eb 

BESOI6EE . | OC45 Dä 

BESD SHEE . | ODSO De 

DOE 1 e | 3B 

BESOSEF 2 . | S645 Eb 

ARASOSAFS . A HAB Ann EHS FAS 

4 


l mx — D- ` ss sm le em 


Window Help Tools 






















DWORD PTR OS: CEA+3A5] 


BreakPoint-> 
ai 


ASCII "aaolsuite" 


ASCII "alzr&3ww'" 





» EAS 


e EAR 
, $65 90808 
BA 


da 







SJ SRO r See Dee ODO 


"r 
m 4 






DO 
DO) 
BESA1ICES 
a1B53F3H 
BHISECSS 
641 SEDEC 
a1B53F3H 
BaaisEF5B 


aaspsass 


ES mnazs3 
CS Hale 
55 DHA 
OS mmus 
FS HH3B 
GS mma 





LastErr 
pagis 


empty 6.5215116564643 
empty 5.y788229521566124 
empty Y1.2r241544249463 
empty 5.2935101750515% 
empty d, BH) d BZ OC 
empty 5. 38745633933443 
empty 1.36510399993991 
empty ce ee eae 


1 
aiza Cond boi E 


aw EO Leters [FPU] 


ASCII "manue 
ASCII "sech 


ASCII "Arc" 











SolSu ite. HSL 


Sabit B(FFFFF 
32bit BLEFFER 
azbit LEEFER 
Sabit BIFFFFF 
22bit PFFOFAR 
MULL 


ERROR_SUCCESS 
(HO, HE, HE, A, 













= 
- 


13r2 Prec MEAR,64 H 





Cuando Olly se detenga en el punto de ruptura cambiamos el valor de la bandera Z y 


seguimos ejecutando el programa: 


- [CPU - main thread, module SolSuite] 









[m 44 NI Fil 


DESS 1501006 
e035 40FFFFF|LEA EDX, 











Hunning 







^ 


Don) 





















aBaspean? : 2 Eessenaa | MOU ERE 
Doan . ES BBB3SDiFF | WAME 
Baspessg1 . | BS 640060894 a EAX, 64 
BASO9BBS . (ES 1>5EEDiFF 

BASO9BBE 

BRASD9AC 1 . | EG oi MOL AL 
aaspeaca . | ES 34662880 

aaspeace . | 8645 Ed MOL EAM, 
BASOSBCE . (FFSA ASeseaa 

aaspeani . | 33Cå “OR EAM. EAH 
aaspeana . | 8945 En HOL 
aaspaeane . | 33Cå “OR EA], EAH 
aaspeans . | 8345 

Baepeang .|Cr45 

BASO9BEZ . | sor 

ABSOIBES vl "D 26 

ABSOIBES > | DB45 

BaepesEE . | DC4E5 

BASDSBEE . | DDEn 

aaspear1 . | 3B 

aaespeasrz . | 8645 

BASO9SBFE . (asca 

BASDSBF? . (8945 : 

aaspeasrhn . | OBS ' 

aaspeasrFn . | DC45 

Baspe1iaa . | OOSo 

86309143 . (56 

865309144 . | 8345 

86309143 . | 8370 

Baenpe1ac .^| C DA 

HOTT AF > LAS ab imo FAY. > 
4 





INC OWORO PTR DS: CEAK+SA5] 


[e] Fie wiew Debug Plugins Options Window Help Tools BreakPoint-> 


oy HUY 2 


ai 





ASCII "ai2?&2ww' 


2095 3CFFFFF| LEA LER eos Done TR Ge: teer-ce] 





» EAR 


, EAR 
, tH5 98088 
HA 





Activating Solsuite 2012, Please wai... 









5/5/5/5]5/51515] 
HEBER T 
BSSALAES 
BIBSSF 20 
Hai ECSS 
üii SEOSE 
aiB53r3n 
aaisEF58 


BESOSIBE 


LastErr 
EE ERG 


empty B. 
empty E, 
empty 7. 
empty E, 
empty 7 
empty E 
empty 1 
empty 4. 


eliza Co 
Lä Pr 


a | Registers [FPU] 


ASCII "manus 
ASCII "xc" 


ASCII "xro" 


SolSu ite. HHS 


S2bit BC FFF 
Zelt BLFFF 
Zelt BLFFF 
22bit BLFFF 
22bit rFFDFBG 
MULL 


ERROR_SUCCES 
( NO, HE, HE, Ar 


5218116504643 
Poos299216612 
oradrb4d484346 
2939101756515 


AHHFSPHLES9299 


soard523933443 


2651099999999 


i tr tase 


nd&áBBi E 
ec HEAR, 64 
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Y aparece nuestro “good boy". 


Thanks for activating SolSuite X] 


Activation process completed successfully! 





Click the button below to check For updates online Eo 
ensure that vou have the latest version of SolSuite 
and SolSuite Graphics Pack. 





Thanks Far choosing SolSuite! 





Cancel | 


Si ahora pulsamos “Cancel” todo irá bien, pero si hacemos clic en “Check for Updates" 
aparecerá el siguiente cuadro de texto: 


LI x 


i ) SolSuite Update is available only in the activated version of SolSuite 2012, 





Parece ser que el parche que le pusimos no es suficiente. Reiniciamos Olly para volver a 
detenerso en el último punto de ruptura: 





10) x| 
Fie View Debug Plugins Options Window Help Tools BreakPoint-> 
ir 44 X| KI Ss Al ali + EAE 










CPU - main thread, module SolSuite 


ver BEZ 1561608 
BES098A1 . | S035 48FFFFF|LERH EDs, 



























Baeopsadgar BS EoooDop | MOL EA! ASCII "a12763uw" 
Baspeanc . JES BBBSDIFF | GERD 

BaepsaEi . | BS 64660666 | MOU EAS, 64 

BASOSABE . (ES 1SEED1FF | BAE 

BASOSABE . | 8095 2CFFFFF|LEA EDH, 

BasD9ac 1 . | Bo ai MOL AL, 1 

aaspsmca . (ES 248620606 | BSD 

BaASD9aca . | SB45 Ed MOL EAH, 





agspsacE , | FFSe ASeseoe 
GESEIS » | 33658 


INC DWORD PTR OS: CERA++23A5 1] 
MOR EAs, EAS 


Ems . | 5945 Eb Mol EAK 
BESO IeDe, . | 33CH AUR EAR. EAR 

Epp . | 2345 EAK 
HREOSe0E » |Cr45 , 46598804 
HASOSHE= : 8270 HA 
HIE, wel TO 26 

HRSO0SHES > | 0645 

HARSO0SHEB , | 0045 

ARSO0 SHEE . | DDED 

BaASOSaF 1 . | 9B 

BaASOSaAFZ . 18645 

BESO IFS . | BSCE 

HRSO AGF e . 18945 

HREO AHF A . | DB45E 

IZ D » | O45 

EESTI 1 riti S poso 

409143 S SE 

462309144 . 18345 Az 

4642091 AS . 18370 ES HA 

44309] AC "^| FE DH 

4| 

Command ¥ | 

Breakpoint at SolSuite. 00809098 | 





Como el parche no funcionó vamos tener que analizar el código con más profundidad a 
partir de aquí. Sabemos que este salto está condicionado por la instrucción TEST AL, AL de la 
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dirección 8D9099. Sabemos también, ya que ejecutamos el código línea por línea pulsando F8, 
que AL viene determinado por el CALL justo por encima de 8D9094. Pongamos pues un punto 
de ruptura en ese CALL. Ejecutamos Olly y nos detendremos en el CALL: 





=O) xi 


Fie View Debug Plugins Options Window Help Tools BreakPoint-> 






















































" E E 8 m E en 1 EE 
edd sl RU] S HE) SD a a sas 
CPU - main thread, module SolSuite 
ES BFHSDIFF 
EACH ii AL, AL 
o BRFSS 1561080) JNE 
E . 2095 4OFFFFF|LEA EDX, 
ananas . Be aan ou EAH ASCII "ai27563uu" 
Baspoanc . ES BBBSDIFF 
Baspoap1 . BS eé4maaaaa Ei EAM, 6d 
aaspasagé . ES 19EEDIFF Per cor BORE TR. Sc esperan 
BESD9EBE . 8095 SCFFFFF|LEH EDX 
BASOIAC1 . EG oi MOL AL 
BRSOIaCS . ES 34662008 
ARSDIACE . BB45 Ed HOL EAH, 
BaspoacE . FFE RHeB2888| INC DWORD PTR DS: CEAX+3A5] 
66309801 . 33c8 “OF Hnc -— EAH 
BESO 9e02 . #8945 EB MOL DWORD PTR SS:LEBP-281 
BASDS9AD6 . 33CB “OR EAH, EAH 
pASDþADE . #8945 DA MOLI 
ABSD9ADE . 2745 D4 papa, MOL Szeen 
BASDIBEZ . 8370 EB BA | CHR 
BASDOBES P NOE 
BASDOBES > DEB45 EG FILD 
BASDSBEE . D45 Da FADO 
BASDSBEE . DOSO oo FSTP 
GASOIAF 1 . 3B WAIT 
ARSDIAF 2 . BB45 Eb HOL EAH, OWORO FTR S5: TEBP=261 
ARSDSAFE . Baca ADO EAH, EAH 
Baspoar? . #8945 90 HOL 
Baspoearn . BDB45 58 FILD 
BES09EF0 . D45 Da FADO 
6909104 . —DOSD oA FSTP 
EISE . 3B WAIT 
ARS 1 Ad . 8245 EB m2 | 800 DWORD PIR SS:TEBP-281.- 
d 
Command +] 
Breakpoint at SolSuite 008D 9094 E 





Pulsamos F7 para entrar en el CALL. Hay que recordar que debemos volver del CALL con AL 
= | para luego coger el salto: 








- Jani SI 
Fie View Debug Plugins Options Window Help Tools BreakPoint-> 
lam déi Si rip äi PE de] ai o IK 











CPU - main thread, module SolSuite 

























DOE 55 PUSH EBP 

amo SBEC HOU EBP,ESP 

DOE 2OCE » bl PUSH ECX 

BESFS arc . S B9 BBmsamasa | MOL ECs, BE 

DOE 2021 A 6H GE PUSH El 

HG 2002 . 5H üH PUSH El 

agoraisss . 49 DEC Els 

DOE Zoe vir Ca F3 min 

DOE ZO » 5l 

DOE ZO . ardD FC 

DOE ZO. 1 53 

BASF=9S50 » 56 

DOE SSE . &od0 EB 

ag5ra3a31 » 8955 FL Mol So lSu ite. DG 
HAREE, . BEFA HOU ESI, EAs 

BESFSI96 . SB45 FL HOl! EB 

DOE 2023 , ES SE2SE1FF 

BES SIE » 2E45 BC MOL! EH. 50154 ite.1a44CF23 
MBASF=23A1 » ES S625E1FF 

DOE SAS » SB45 D: MOL EHA 

DOE SSA? » ES rE2sElFF 

DOE SAE . Z308 AUR EAs, EAS 

DOE SoBe » 55 PUSH EBP 

BEEF SSE 1 . 65 BESCEFOA | PUSH SolSuite. BOSFSCOS 
DOE Zoe , qg: FF3ġ PUSH OWORO PTR FS: [EA] SalSuite.Bam?FFDFaB 
DOE 203 , Éq; E920 HOU OWORO PTR FS: CEA], ESF 
DOE SSBC »  33DB MOR EBs, EBs 

DOE ZOE . 8045 OL LEA EAs, 

DOE ZO . E PUSH EAX 

DOE Sate . SB40 BS HOW ECA, 

agora3sces . BA zöŞC SE [MOL EDS, 

um . 6S 2CSCSFee | POL EAS. 

4 


Command -| 
= 
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Como podemos observar se trata de una rutina larga y sin RETN, por lo que bajamos hasta el 
final de dicha rutina: 












Lo o as 
File View Debug Plugins Options Window Help Tools BreakPoint-> 
E 4] si KI €": HE] REM) a HH 





CPU - main thread, module SolSuite 






BESFSBUS 





















POP EDs 









50154 ite. DG 








BasrFaED4 5a POP ECM Solu ite. 662809099 
BASF3EDS 5a POP EC} SalSuite. 66809099 
Ba5FaEDE 64:5916 HOW DWORD PTR ES: EST, EDH SolSuite. saS096e0 
HASFSEDS GD FUSH UR 55 m 

BasFaEDE 2045 Aa LEA ERX, 

BasFa3BE1 EA igeeeeee | MOL EDX, ia 

BASF3BES ES B921E1FF | CALL So Lu jte, 22405DR4 

GG ZER 2045 EC LEA EAH, 

BASF2BEE EA BSB6B6B6 | MOL EDx,5 

BASF3BFS ES AC21E1FF | CALLE So Suite, 0040504 

BBSFSEFE 2045 AS LEA EAM, 

BABSF2EFE EA B286868668 | MOL EDH, 2 

Basracan ES 3F21E1FF SalSuite.BB4BEDR4 

Ba5Facas Ca 

Basracae ES ES19E1FF 

GG ZC EB Di 

BASF3CAD SBCs HOL EA, EBH 

BASFSCAF EE FOF ESI SalSu ite. 662809099 
let et 5E FOF EBM SoalSuite. B62D09099 
BBSF=011 SBES MOL ESP, EBF 

BBSF2C13 5D POP EBF SoalSu ite. BB2D9099 
BBSF2C14 C2 ogg a 

BBSF3C17 AA DE 66 

BBSF3C1S FFFFFFFF DD FFFFFFFF 

Ba5Facic 010666866 DD 66666661 

Basracsa 38 Ba ASCII "aa 

DEE SC aa DE Ge 

BBSF2C23 aa DE Ge 

BBSF2C24 FFFFFFFF DD FFFFFFFF 

BASF3CZS 61666666 DD 66666661 

BASFACEC 47 B ASCII "Ga 


dä 


Command -| 
S ee A 


Si nos fijamos bien en el código, en ninguna parte AL se pone igual a uno. Pero hay un 
sitio donde BL es igual a uno. Lo que Olly nos está diciendo es que la rutina acaba en 5F3C05 y 
antes de eso BL no se ha movido a AL. 


Fijemonos en la dirección 5F3BD9, este PUSH SolSuite.005F3COD empuja esa 
dirección en la pila de forma que cuando llegemos a la instrucción RETN nos mandará devuelta 


a 5F3COD. 


Si nos fijamos en la dirección 5F3COD vemos la instrucción MOV EAX, EBX (o lo que 
es lo mismo MOV AL, BL). Si BL = 1 vaa ser movido a AL antes de acabar esa rutina. 


Sabemos que AL = 0 al salir de la rutina, por lo que debe de tomar el salto en SF3BCD 
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EMEN ll 


File View Debug Plugins Options Window Help Tools BreakPoint-> 
Gel dd sl m|H| wäll BIE all Ai leg 


Res TO 
CPU - main thread, module SolSuite 























ARSFSECZ . EB45 ES MOL EAH, 

ABSFSECS . EBS5 Fa MOL EDH 

ABSFSECE F perag — 

ABSF3ECO 75 B2 

ABSF23ECF [ES 61 MOL BL, 1 

ABSF3BD1 SSCA “OR EAW, EAM 

ABSF2ED3 : : POF EOS SolSuite. 00809699 
ABSF2ED4 . 59 POP EC SolSuy ite. 00803699 
ABSEF2ED5 . 59 FOP ECH SolSuy ite. 00809699 
Ba5FSED& . 4:9916 HOL DWORD PTR FS:LERX1,EDX SalSuite.Bmmspaéang 
ABSEFSEDS . 68 BDSC5SFOA | PUSH 

ABSFSEDE > 8045 AB LEA EAH, 

ABSF3BE1 . BA 16666664 |MOU EDX, 16 

ABSFSEES . ES ES21E1FF | CALL So Su ite. 09405DA4 

ABSF3BEE . #8045 EC LEA EAH, 

ABSF23BEE . EA BSBBB66R | MOL EDX,S 

ABSF3EF3 . ES AC21E1FF | CALL Solsu ite. 90405044 

ABSF2EFS . #8045 AS LEA EAH, 

ABSF2EFE . EA B2B866666 | MOL EDX, 2 

aacracaa . ES 9F21E1FF Sol Suite. B0405D0A4 

DEE SCDE "ES 

DEE CDe .^ ES ES19E1FF 

ARBSFSCAB .^ EB D1 

ABSFSCAD . BBC MOL EAX, EEH 

ABSFSCAF . EE POP ESI SolSu ite. 0A803699 
Basracia . 5B POP EBM SalSuite.nmmspsas2 
Ba5F3C11 . BEBES MOL ESP,EBF 

ABSF2C13 co POP EBF SolSu ite. 00803699 
ABSF2C14 C2 mana 5 

ABSF23C17 Ba DB aa 

ABSF2C18 . FFFFFFFF DD FFFFFFFF 

EM . BiBaaaaan DD 66666001 





Cambiemos por lo tanto la instrucción JNZ a JZ y guardemos el nuevo ejecutable en el disco. 


EN = Ini xj 


File View Debug Plugins Options Window Help Tools BreakPoint-> 
Gel dal sl ell wäll MIDI all ai leg 


CPU - main thread, module SolSuite 
DOE 22 SB45 FS MOL! ERA, 




























BESFSBCS SBSS FH MOL) EDS 
DEE SECS . ES @r26E1FF 

BESFSBCO ve TE Be 

BESFSBCF 5 E B1 MOL! BL, 1 
BESFSEO1 A SSC AUR EAM, EAS 









SolSuite. DI 
SolSuite. DG 
SolSuite. DG 
Sa lSu ite. DG 


x 
IS SHORT 005F 36011 -| 


I Fill with NOP's Cancel | 


DOE ZER 
DOE ZC op 
DOE 29, 
DOE Zoe, 
DOE ICHE 
BBSFSCAD 
BESFSCAF 
BESFSC 10 
BHEFSC11 
BHSEFSC1S 
BESFSC14 
BESFSCl? 
BHSFSC1S 
BRSFSC IC 
d 


Command | 
| d 

























BA 82668868 
ES SF21E1FF 


CS 
ES ESISEIFF 
EB Di 


HOU ED, 








MOL! EAM, EBs 
POP ESI 
POP EEA 
MOL ESP, EBP 
POP EEF 


50154 ite. SES09R99 
SolSuite.tHmspasus9 


SolSuite.Baspsms 





5D 
C2 maga 
op 

FFFFFFFF 
B1aaanaan 












DB op 
DD FFFFFFFF 
DD ABBE 
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Dn st x 


File View Debug Plugins Options Window Help Tools BreakPoint-> 
el dd] X^ Kl wäit BEE] d 


CPU - main thread, module SolSuite l 


BESF SBC2 . SB45 FS MOL! EAS, 
BESFSBCS . %4SBSS FH MOL! EDs 
BESFSBCS » ES Br2e6E1FF 






ai 











BESFSBCO v r4 B2 JE SHORT SolSuite. BB5FSED1 

BESFSBCF » Es bl HOU EL, 1 

BESF=ED1 > 3306 AUR EAS, EAS 

BEASFSEDS . 5A POP ED SolSuite.hBuspsas3 
BEASFSED4 . 52 POP ECs So |Su ite. DI 
BESFSEOS » B3 POP EC& SolSuite.tBuspsas9 
BEEF SBOE » 649910 HOW DWORD PTR FS: LEHRS1, EDs 50154 ite. DRUI Dn 





HE SBS . 6S BULGE | PUSH 
HE SBOE > 8045 Ab LEH EAS, 
BEEF SBE 1 . BH 1486466666 | MO EDS, 16 


AGSFSeEG ||. ES BOZiE1FF | GAUL Solsu ite. 22405DA4 
LEA EAH, 


DOE SBEB » 2045 EC 
HOU EDK, 5 


BESFSBFS » ES ACL21E1FF 
MOL EDS, 2 


BESFSBFS . 8045 0S 







Babr3BFE . BA Ba2maanan 
BESF SCHR » ES 9F21E1FF 
BEASFSCAS » L3 

BsF SCRE ^ ES ESISEIRF 
HE SCHR .^ EB DI 





BBSFSCAD . SBCS EAS, EBs 
BBSFSCAF . BE POP ESI 50154 ite. DOUD 
DOE 218 » BB POP EEX So lSu ite. DO 
BESEFSC11 . BEBES HOU ESP, EEP 
Basr3cia3 EBF SalSuite.hBaspsass 


. 5D 
Babra3ci4 . Ce Hp 
DOE ZC 17 D DE ou 
DOE 21 » FFFFFFFF DD FFFFFFFF 
imi .. Bland DD opp) 
d 


Command | 





SG 





Si ahora ejecutamos el nuevo ejecutable veremos como todo va como la seda. 


About Solsuite 2012 RW x] 


Salsuite Solitaire 2012 - Version 12,00 - Dec 10, 2011 
Graphics Pack installed: Ma Check For Updates: 





This product is licensed to: 











WAAL SOISUIEe com. Follow us on Facebook, 
D ee SolSuite Newsletter sign ur Follow us on Twitter 


-Copyright te) 1895-2011 Tree Card Games and its licensors. All 
rights reserved. 

This computer program is protected by copyright law and 
Intemational treaties. Unauthorized reproduction or distribution of 


this program, or any portion of it, may result in seyere civil and 
criminal penalties, and will be prosecuted to the maximum extent. OK 


| iR A3 Re end | a = SolSuite Solitaire 2012 v12.00 [Klondike] [manuel] 








Game Statistics Favorites Appearance Hints Tools Help 








o 3 Jeg ei 
| SolSuite Buy Activate SolSuite Website Check For About i 





Help 





SolSuite 


aby" 3110 
4 y 


Solsuite Mews = Updates 





CO ale 





HEAD. 
m aci ud 


http://masteracsi.ual.es/ 


Si pulsamos sobre el botón “Activate SolSuite" veremos el siguiente mensaje: 


Com $x 


eh Notice; Solsuite 2012 is already licensed bo: manuel 
Ls An additional license For SolSuite 2012 is only US 419,95 


9] we | 
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8.4 Cracking Driver Finder 


Descargamos Driver Finder 2.1 de Internet. Inmediatamente después de instalar la 
aplicación, esta procede a escanear el equipo en busca de drivers desactualizados. 


QO PORIVERFINDER’ ` [Iniciar Escaneo y 


Powered by exact Match Technology Actualizar Sus Drivers 

















Fo Resumen Estado Dispositivos | Sistema 


ZS Resultados 


1 Y) JJ 0 de Actualizaciones de Drivers IGNORADAS 





2 Backup | 
84 de Drivers ACTUALIZADOS 







S restaurar een | 
P 91 Escaneado del Total de Drivers 




















LIE. 


¿$ Configuración 


SOLUCIÓN: Haga clic en DESCARGAR TODOS debajo para descargar los driwers 
mas recientes (1) para solucionar los problemas actuales de drivers (2) para 
beneficiarse de las nuevas funcionalidades de drivers de los fabricantes de hardware, 
(3) para evitar problemas futuras del sistema. 








Último Escaneo: August 27, 2015 01:05 PM 






Descargar Todos  p» 





7 ¡LOS DRIVERS ESTÁN DESACTUALIZADO S! 


a Acerca de =b Registrar Y Soporte 2 Ayuda 


Hacemos clic en “Registrar” e introducimos un ID y una contraseña: 
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Activar la licencia 


BDRVEREFINJE! 


Powered by exact Match Technology 








Ma dejes que tu PC se deterioran. Activar su copia de DriverFinder ahora y actualizar 


los controladores de dispositivo al instante! 





ID de Licencia: | 121212121212 


Contraseña: manual Activar ls 


¿Aún no tiene una licencia? Registrar Cerrar le 


Hacemos clic en “Activar” y nos aparece la siguiente pantalla: 


Información de licencia na valida. Por favor revise su ID de Licencia y 
Contraseña y vuelva a intentarlo, o póngase en contacto con soporte 
técnico para obtener ayuda. 











Abrimos Olly y cargamos la aplicación: 
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DN ex 


File view Debug Plugins Options Window Help Tools BreakPoint-> 
el 44 X) KI Bi lI ali o 










CPU - main thread, module DriverFi 


ES Bensaana a 
.^ ES SrTFDFFFF 
== FF25 CC36r28 DWORD PTR DS:Ez&hMsucReaB.  CuusFrame 
S 3800 3462790 CHP ECH, DWORD PTR DS: [7962347 


JHZ 
PREFIX REP: 











HCGUChOog,  CusFrameHand 


"cla 


EE PSOE 1 we 
































Superf luoys prefix 
aar sar . CS 
aasr?31a8 w EQ 24008008 
aasr?315 SBFF HOL EDI, „EDI ntdll.7C928738 
Basr?317 . 55 FUSH E 
Baerr218 . SBEC iu EN ESP 
BBSF791B . Fé4E Dë az T BYTE PTR SS:LEBP481, 2 
BaeFrzeiE . SF PUSH EDI ntdll.r7C928738 
AG6FPSLF . SEBF3 MOL EDI, ECs 
Dot P3921 w F4 25 
DOE 7922 . 56 FUSH ESI 
Dot P3924 . 68 4BS55FOB | PUSH Entry address 
ARSFTOZS . See FC LEA ESI,OWORD PTR OS: CEDI-4] 
BREF "aac . FF36 PUSH DWORD PTR DS:ErESIJ 
AG6FPIZE . 6H DC PUSH ac 
Dot ra . E PUSH EDI ntdll.7C928738 
Baaesr?331 . ES 428388208 
ARASFTOZE . Fé45 88 1 | TEST 
BARSFTI3A ww F4 B? 
DOE ot , 56 FUSH ESI 
BARASFT930 . ES 2AESFFFF | CALL 
Basr?342 . E59 POP ECH kerne 132. 7081604F 
Baer?943 > SBOE MOL EAR, ESI 
DOE r945 . SE POP ESI kerne 132. 7081604F 
Baer 7346 .v EB 14 
ARSFTO4S > ES FSa8Basanag 
ete . Fé45 As 81 | TEST gs 
4 


Command -| 
| Analysing DriverFr 11301 heunstical procedures, 10730 calls to known, 15551 calls to guessed functions | 


Si ejecutamos la aplicación y buscamos por cadenas de texto no vamos a encontrar al 
“bad boy”. Por eso vamos a cargar la aplicación en Resource Hacker: 


EB Resource Hacker - E^ Archivos de programa‘ DriverFinder” DriverFinder.exe 





File Edit View Action Help 


Sa PNG 
H- Bitmap 
J-E Icon 

H-E Menu 
Dialog 
String Table 
Icon Group 
o Ey Version Info 
241 















Desplegamos la carpeta “String Table” y seleccionamos el número 39: 
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EM Resource Hacker - Ex Archivos de programa*DriverFindersDriverFinder.exe 


File Edit 


el 


EL, 


af ` EE 


View Action Help 





- 15) x| 


Compile Script | 


STRINGTABLE 
LANGUAGE LANG ENGLISH, SUBLANG ENGLISH Us 


608 "Activation Complete." 


our License ID and Pazzut 
Please contact technical support fi 


"Invalid License Information. Please check 
"No more SoftwareEKeys available! 
"Invalid Code Entered!" 

"The license has been copied from a different machine. 
"The license has been revoked. Please register again." 
"in error occurred trying to verify your licensing information.'nPle: 
"This àpplication is already registered." 


Please renew 4: 


Ef 616, "Backup Completed Successfully." 
Ef 617 "DriverFinder™ " 
Ge 616 "OE 
a-i 619, "Unregistered" 
P 620 "Register your copy now!" 
Er 621 "Unknown" 
BE 48 622, "GB" 
Ey 48 623 "HB" 
ee 50 H 
Se 51 
o CH 2049 
o CH 2051 
| Beg 2052 ell: D 
Line: 1 | | 1.242 | ot 


Y vemos que tenemos con el numero 209 nuestro “bad boy” y una linea mas arriba con 
el número 608 nuestro “good boy". Devuelta en Olly hacemos clic con el botón derecho y 
seleccionamos “Search for” -> “constant”: 


EMEN -— — — — I HX 


File View Debug Plugins 
[=| dq] X 


d 


Options 


Window Help Tools BreakPoint- = 


oy rg] > 





CPU - main thread, module DriverFi 


= 
[icu | 


j 
eFrSFB 
dE P? 3588 
BEF POR 
BREF Un 
BREF d29E 
Sa en 
BREF osi 
SISCH? 
Det d3led 
GSlZsechb 
BREF Ye 91a 
BREF YS1E 
BREF eS1F 
Dot raal 
HHF r923 
BREF raad 
DG Taza 
Det rs2c 
BEEF PS2E 
BREF Yosh 
BREF ra] 
BREF rabo 
BEEF PSSA 
BREF ras 
BREF 93D 
BREF rada 
BREF rods 
BREF rod 
BREF Trade 
BREF roads 
BREF ragi 
‘| 


Pa a hon 


Comman 


S ES BSBSummdad 


d 
S 


TM Ao [TT CF] 45H M2 0 7T] 00 09 4H 74 00 OT TI CO CT] TC 0411 mA 


| 


| Analysing Diver 1130 









Backup F ER28.  CuuFrameH HMSUCRS8.  CusFrameHand 
Copy 3B294] 

Binary " Superfluous pref ty 
Assemble space ntdll.7C920738 
Label 

Vämert , = ntdll.7C920738 
Breakpoint k 

Hit trace kt 

Run trace k 1-4] EUIS Neues 

New origin here Ctrl+Gray * ntdll.7Cao2a87238 

Go En NI 

Follow in Dump d 

View call tree Chri-K 


Search For 





Find references En 


VIe 


Copy to executable 


Analysis 


kernel32.7C816D4F 


k Mame (label) in current module Ctrl+M 
k Mame in all modules 

Ld 

. Command Ctrl+F 
; Sequence of commands Ctrl+5 
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Introducimos el número en el campo “Signed” o “Unsigned” y pulsamos “OK”: 





Enter constant to search fai X] 
Hexadecimal [00000261 
Signed 603 


Unsigned DD 
Jh Entire black 


Cancel | 


File View Debug Plugins Options Window Help Tools BreakPoint-> 
44 Si »|H| + xl c 4 


CPU - main thread, module DriverFi 


Ha 2 GR PUSH EA» DD 


=10/x] 
















































Ba43pas2 EE FUSH EBF Arg2 = &aisFFF& 
BR4SEBSA 51 FUSH EC} Aral = maisFFBE8 
ARASEBSE ES 17FC2A66 OriverF i. BB6EACAF 
AR4SEOSA 8358 ni SUB EBX, 1 

Ba43pa23 Bre4 ECaamaaa JE 

EISE end4cz4 14 LEA ECH, 

Ba43paon FF1S Dc4nur28| CALL DWORD PTR DS:LI£&mfo98u.:322625] mfodau. rsAssee9 
Ba42pnn3 SFE 64 CHP ESI,64 

AR4SEBAS 75 22 

Ba43pans CéSd4e4 Pease) Hou „Ë 

Ba43papa 68 61620068 | PUSH 261 

BBa43pap5 en4cz4 18 LEA ECH, DWORD FTR SS: [ESP+18] 

BR4SEBES FFiS Eb4A728| CALL OWORO PTR DS: L<2mfc9Bu. 14442 >] mnfo980u.T8m884969 
BBa43paBbF 53 F EX 

aag43spaca 805424 18 

Ba423pac4 52 ntdll.KiFastSustemCal ll 
AR4SEBCE ES semana 

BR4SBBCA S3FE B7 

Bad SERCO YE HF 

BBa43pacF Cósd24 TSmu28 

Ba43pan 68 628200606 

|BBa43Banc EB &2 

Ba43panpE 3BF3 CHP ESI,EBX 

Ba43paEa r4 Si 

BBa43pBaEz Césde4 ra8gza8|nMOU 8 

ABASEBEA 68 DSBZ26666 | PUSH 209 

ARd4SEBEF 204024 24 LEA ECH, DWORD PTR SS: [ESP+24] 

Ba43BaFa3 FFiS BB4nr28 DWORD PTR D2S:L£&mfoc98u.132852] mfaoSgu.78H35C18 
Ba43par? C68424 TSnuza| MOU BYTE PTR SS: [ESP+278],3 

BR43B161 56 FUSH ESI 

a SECS MOL ECH. EA! 

4 


Command -| 
“Analysing OriverFr 11301 heuristical procedures, 10730 calls ta known, 16551 calls to guessed functions | 


Dos líneas más arriba tenemos una combinación de comparar/saltar. S1 nos situamos 
encima de la instrucción saltar en la dirección 43BOA6 vemos que salta pasando a nuestro “bad 
boy", hacia más instrucciones PUSH, todas ellas diferentes formas de “bad boys" y sin llegar a 
nuestro “good boy". Ahora bien si marcamos el salto condicional JE en la dirección 43B093 
vemos que saltamos pasando todos los “bad boys” que vienen a continuación, llegando a una 
área donde podemos ver la instrucción PUSH 260 (que en hexadecimal es 608, nuestro “good 
boy”): 
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File View Debug Plugins Options Window Help Tools BreakPoint-> 
ei 4d4| Si KH 


eje zU dl > 


=10/x] 








CPU - main thread, module DriverFi 







Ge 








AOR AL, AL 





KMS 
ES 33618088 












































BB43Bl25 SEOD 2464790 HOU ECM, DWORD PTR DS:[79B424] 

an43B1SE 523 FUSH EEH Aros = GEEDDGGG 
6438181 6A ad FUSH 4 Dra? - 8853884 
Ba43Bpl18E 51 FUSH ECH Argi = ABISFFEO 
Ba43Bl8F ES i15Fh2nua DriverFi.BmaeERnBHa 
Ba43B194 2615 s4B4rT98|HMOU EDX, DWORD PTR OS: (Pob4e4] 

Ba43Ep19n 68 A0E27206 | PUSH DriuerFi.BBWr2E2uD Hra2 = marv2E298 
Ba43B19F 6A 63 FUSH 3 Ara2 = ARABBRBAS 
a643B1A1 52 PUSH EDX Arai = PO91EB94 
Ba43Bi1nz ES sDreznaua DriverFi.BB85ERBEd4 
Ba43B1n7 esFsS ai CMP ERX,1 

aa4spinn 75 dp 

a643B1AC 804024 14 LEA ECH, 

a643B1E4 FF15 DC4AFZ0 DWORD PTR DS:ELZ&mftc98u.12926»] mfc5B.T8H35823 
Ba43B1B6 C68424 7828 : 

Abd SB1BE 62 66820808 PUSH zaj == — 

Ba43pic2 eb4c24 18 

Ba43Bl1C7 FF15 EB4n72B8 CALL DWORD PTR OS: (<&mfosau. t44423] mf Cu, PSAS4969 
@e426B1C0 204424 14 LEA EA}, DWORD PTR SS: CESP+i4] 

Baa43E1nDi 52 PUSH EBS 

AB4SB102 co FUSH EAM 

86438103 Es OSFiFFFF 

86438103 3304 D ADO ESP, = 

Ba43Bi1DE Goor 24 ra8usa| nou EL 

AB4SB1E2 204024 14 LEA ECH, 

a643B1E6 FF15 &se4cr28 CALL DWORD PTR DS:Lz&mfc98u.16882] mfosBgu.78n33841 
Ba43Bl1EC SEOD 2464790 HOU EC, DWORD PTR DS: [796424] 

Ba43Bi1Fz 53 PUSH EEX Org? = PEFDDGGa 
a443B1F3 51 PUSH ECX ES = pnaisrFFBaB 
ee ES B7F42A6068 | CALL Or iverF i. DGeEDGPp 
4 


Command | 
“Analysing DriverFr 11301 heuristical procedures, 10730 calls to known, 16551 calls ta guessed functions | 


Ponemos un punto de ruptura en el salto condicional, ejecutamos la aplicación, 
introducimos un ID y contraseña y vemos como Olly se detiene en nuestro punto de ruptura: 





- [CPU - main thread, module DriverFi] 
[c | Fie View Debug Plugins Options Window Help Tools BreakPoint-> 


ir déi NI Kli bat ee) de) | o 


ve DEG ECBamaa 
, | BAL 24 14 LEA Ete, 

FF15 DC4RH?28| CALL DWORD PTR DS:L£&mfc9Bu. 3296] 
CHF ESI,64 


BE4SBa99 


Had 3p bt Gu, OH 


Ba43Bans . | B3FE 64 


aaa SBA 
BH4SBRHS 
ada SREB 
BH4SBRBS 
BH4SBRB9 
BH4+SBRBF 
aad spa 
aad spi 
BH4SBEC5 
HH4SBRCH 
aad 3pm 
aad 3pacF 
Haad spi? 
aad s3pnnmc 
Baa 3panE 
BH4SBRER 
HH4SBRE2 
BEd43EBEA 
Abd BAEF 
Had spar 
Baa 3pnsr 2 
44436161 
BH4SB 12 
64436144 
6443615 
BE4SB 156 
64436 14F 
Baa 3BplilB 
bt, SERT 16 
4 


r5 22 
C68424 Peaze) MOL E 

68 61020008 PUSH. 261 

sD4cz4 185 ECs, DWORD PTR SS: [ESP+18] 

FF15 EBdHr2a CALL DWORD PTR DS:L£&mfoSBu . #44427] 


53 

505424 18 

52 

ES Semana 

SFE Hr 

rb BF 

Ces4e4 roaa 

68 6282088 

EB 62 

3BF3 CHF ESI, EBY 
r4 El 

De6S4z24 PBZ) MOLI 


62 O9828866 | PUSH 2093 
GOUAL 24 24 LEA EC& 


DNOPD PTR $5: CESP+24] 

FF15 BB4R728 CALL OWORO PTR Dër Aaf Gu, #2067] 

Cep42d4 vümeB MOU A 

Ee PUSH ESI 
MOL ECH, EAX 


SBS 
EE FRA 2H CALL DWORD PTR DS:L£&mfco3B8u.159827] 
Ge IC 


1 La 
FF15 F448724 CALL DWORD PTR DS:Ez&mfc9Bu.i:253751 
21 d DI. ANN FSP. pt. 





bt coh. PSAS4969 


bt Gu, PSASSC1S 


bt coh. OHIO 1 


bf cI. r 2A35045 


ZE 


Cambiamos el valor de la bandera Z para que tome el salto y pulsamos F8: 
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- [CPU - main thread, module DriverFi] 
[c] File View Debug Plugins Options 






aln ga inie 
aaa 3pa9n 
BE+SBRARS 
BHE4+SBRH6 
Bad 3BaHs 
HE4SBEBH 
HE4+SBRBS 
DAPP 
BE+SBEBF 
BE+SBEC8 
DAP A 
BE4+SBECS 
Bad 3BacH 
Da 3Bpac 
BES+SBECF 
Bad 3BaDr 
Bid 3EmDc 
HE4+SBE0E 
Bad 3BBEB 
Bad 3paE2 
BE+SBEEA 
Bad 3BBEF 
Biad3paFs 
Da 3parFo9 
46436161 
HE4+S3B 12 
46436164 
Bid 3B 18H 
6456106 
BE43E18F 
BE43B118 
AAAS 11 


4 






Window Help Tools 





DEGA ECAR 





isters (FPFPLI 













EC, 
ELORE PTR DS:L£&mfo9B8u.1295?] mto. A323929 
























: DWORD PTR SS: [ESP+18] 
CALL DWORD PTR DS:rZ&mfco98u.itddd221| feu, 78034969 








Dr iverF i. Be4356 


S2bit BLEFFFFF 
22bit BLEFFFFF 
32b1t BIFFFFFF 
S2bit BLEFFFFF 
Satie: YFFOF RRR 




















HE 
Cesd4e4 ?su28 




















ERROR_SUCCESS 
( HO, B, E, BE, S.P 











4 51 
Cesde4 Peak 











ECH. OWORD PTR SS: [ESP+24] 
DWORD PTR DS: (<amfodGu. #286 >] 
OU BYTE PTR SS: LESP+2781]. 2 
.ERX 
CRLL E PTR DS:r&mf c38u , 2855] 


LER EC, DUBRBETSTRSSNEESESELUS 
CALL OWORO PTR OS: Cétmfcdeu, #2537) 


FF15 BB4Hr2H 
E rema 


bt Gu, SASSIS 













GL 
Se Fader 70 mfc9Bau. GH 1 


51 
FF15 F4487124 mf Gu, PSASSO4S "Le 








- [CPU - main thread, module DriverFi] 
[e] File View Debug Plugins Options 






46436135 
4643B18E 
ag43Blac 
aa43BlaE 
4643B18F 
44436194 
aag43B19H 
aa43Bl19F 
add 3B1Hi 
aa43Bl1H2 
Baa43Bl1Hr 
add 3BlHH 
aa43Bl1RHC 
aa43Bl1BB 
ad43BlB6 
ag43BlBE 
aa43Bic3 
Bad43BlCcr 
aa43plcp 
46438101 
6436102 
48436105 
46438108 
46438106 
HASSE 1E2 
aa43BlEe 
aag43BlEC 
aa43BlF2 
ag43BlF3 
aa43BiF4 
Bad43B1F39 
ag43BlFF 
bt SES BI 


4 





BreakPaink- = 


Window Help Tools 
AE d 
ES 24247968] HOW Elx, OWORO PIR OS: [796424] 


























sl 

ES I5FH2Hü8B 
oBl15 2464798 
63 SE2r28B 
A m3 


DriverFi.BBeEHBHS 





HOU EDs, OWORO PTR 05: [796424] 


PUSH DriverFi.BBrz2E29 


52 
ES S0F 32H Dr iverF i. SB6ERB4+4 
aaro Hi 





WORD PTR DS:[z&mfcOBu.4296»] 


HOU BYTE PTR Sot Espiral 
MOL] 


DWORD FTR SS: [ESP+18] 
CALL OWORD PTR DS:ELz&mro9nDu.:44425] 
OWORO PTR SS: [ESP+14] 


FF1S DC AH Ap 
Cosded sees 
63 GZ 


FF15 EB4BH72H 


bf Gu, d'H 















bat Gu, PSAS4969 


5 

ES DSF1FFFF 
4 HG 

cogr24 Sez 


FF15 GG 728 
e 2464798 


EM 
c 





CALL OWORO PIR OS: L£&mfc9Hu , t606: ] 
MOL] SC PTR DS:L?9B424] 


mf cob. GH Al 


L] UN L] a a L] a L] 
l 





51 
ES BrF42Hü8B 
SB1S 2464798 


CALL OriverFi.G86EA6Eo Or iverF i. @@6EA6BE 
MOL EDX, DWORD PTR DS:L79B4241 


Antes de llegar a la instrucción PUSH 260, vemos que hay otro salto en la dirección 
43B1AA. Pulsamos FS hasta llegar a esa dirección y miramos si Olly va a saltar o no. Como no 
salta pulsamos F9 para ejecutar la aplicación: 


http://masteracsi.ual.es/ 


Activación completa. 





Hemos llegado a nuestro “good boy”. Hacemos clic en “OK” y vemos que el botón para 
registrarse ha desaparecido: 


m Acerca de e" Soporte ‘@ Ayuda 





Si hacemos clic en “Acerca de” vemos que tenemos una licencia valida: 


9, DRIVERFINDER 


Powered by eXact Match Technology 





Vera 
ID de -57623754 

DriverFinder™ es un programa informático: que analiza su pc para. las 
controladores de disp ositivos que faltan, corrupto: Y obsoleto, y recomien da 
las últimas actualizaci: ones. Ayuda a a prevenir errares de la PC y los fallos del 
sistema. que mejo ora el rendimiento y la estabilidad de su PC. 





www.driverfinderpro.com OK 
Copyright 2011 DeskToolsSoft 





Reiniciamos la aplicación en Olly para comprobar que todo funcione bien. 


DriverFinder 





The following error occurred when trying to check for license validity. 
[100] UNKNOWN ERROR! This copy will stay unregistered. 





Y vemos que como siempre hay algo que va mal... Hacemos clic en “OK” y todo vuelve a su 
sitio original: 


http://masteracsi.ual.es/ 


Y Ayuda 


-b Registrar = Soporte 


Acerca de 


> JRIVERFINDER 


Powered by eXact Match Technology 








Versión: :2:1.0.0 
Licencia: No registrado 
ID de : 57623754 


DriverFinder™ es un programa informático que analiza su PC para los 
controladores de dispositivos que faltan, corrupto v obsoleto, y recomienda 
jas ültimas actualizaciones. Ayuda a prevenir errores de la PG y los fallos del 
sistema, que mejora el rendimiento y la estabilidad de su PC, ` 


WWW dv eran Gel pre Cory 
Copyright © 2011 DeskToolsSoft 





Tiene que haber otra comprobación que necesita ser parcheada. 


Busquemos esta vez por cadenas de texto en Olly y nos encontramos con esto: 





- [Text strings referenced in DriverFi:.text] = [mi xj 
[R] File View Debug Plugins Options Window Help Tools BreakPoint-> - [2| x| 





Hunning 


Address 


468436210 
AB4+S6261 














i| 44) X 


Disassembly 


HOW Ete, Driver 
PUSH OriverF i. 





b- | Il 


Text string 







ASCII 


































bh: + ad | = 


el: 


FF | cp 


UAICODE "FALSE" 


HE43B383) HOL ECH, Driverf ASCII "lor" 

HE43B353) MOU ECR, OriverR ASCII "ISr" 

HE43E309) PUSH 106006 UNICODE "-2::2::**" 

HE43B3E8) PUSH OriverFi.& ASCII "FF1d2152- Arer-110E-95BF1-FS4S85560S559593" fei 
Bad3Bd5r|PLSH OriverFi.§ UNICODE "45" 

BHad3pgerB|HnHoJ OWORO PTA D ASCII "Bc" 

HE4SB05C) NOU OWORO PTR D ASCII "Arc" 

ARdSBESA| PUSH OriverFi.&@ UNICODE "ed" 

BHe4SCH2F) PUSH Or iverFi.& UNICODE tss l icense. in i" 

4430457 | MOL ECH, Driver ASCII " 

He43C606) PUSH DriverFi. E UNICODE 

BHad3ce6ED|PLISH OriverFi.&@ ASCII " 

BHad3craF|PLISH OriverFi.& ASCII "RET" 

BHad3cr765|PLISH DriverFi.8 ASCII "ERP" 

Bada3crcr?|PFUSH DriverFi.B8 UNICODE "http:-z-^driverfinderpro.com-4reairstererenew.php 
BHad3c9E5| HOW DWORD PTRA D ASCII "Jio" 





















Bad3DadrB|FPLISH OriverFi.&@ ASCII "image" 

BHad3FmHSE|PLIISH OriverFi.& UNICODE "2,24" 

BHad3Fer3|PFUSH OriverFi.& ASCII "invalid mapzsetzTs iterator 

Dpd42EDep: PUSH OriverFi.&@ UNICODE "166, aan" 

BHadd238B|PLISH OriverFi.& UNICODE "HeSHBias ` RawShbiosTables" 

He44e352| PUSH OriverFi.& ASCII "SmbioshHajorlersion" 

Badaz3Br|PFUSH OriverFi.& ASCII "SmbtoshinorVers ton" 

HA442417) PUSH OriverFi.&@ ASCII "SHBiasLData" 

He4425840| PUSH DriverFi.E ASCII " bytes). To increase the limit (or to disable these warnings], see 
64442559 | PUSH OriverFi.& ASCII AH protocol message was rejected because it was too big (more than " 
He44e663|) PUSH OriverFi.& ASCII EE google Drot Ob E, io oeded stream. cer 

HA443203) PUSH OriverFi.& ASCII "CHECK failed: (buffer size ) == [Øj]: 

He443200) PUSH Or iverFi.& ASCII . sero’ goog les “protobuf™* iosscoded_ stream. co 

He44S3F 8) PUSH OriverFi.& ASCII nr butes, parsing will be halted for security reasons. To increase He 
HR44S3FF) PUSH OriverFi.& ASCII “Reading dangerously large protocol message. If the message i ` 
4 H 


Command -| 


Hacemos doble clic: 


http://masteracsi.ual.es/ 


- [CPU - main thread, module DriverFi] 













Hunning 


[e] Fie View Debug Plugins Options 


Window Help Tools 


ee dd Si SII He) x lI 






































BreakPaink- > 








=O) 
-|8| 


Alen lx [x 





Ba42ceeF 52 PUSH EDX e = mto9Bu.rBSc454ED 
Elei 885024 6C MOL EL 

Ba42c674 ES DFBES2BaG8 memset 

EISE 3304 nc HDD ESF, oC 

Ba43cerc 204024 14 LEA ECH, DWORD PTR SS:LESP-*141 

aa42cesn FF15 DC4nr28 DWORD PTR DS:L£&mfc30u.4296»1 | mfc98u.78n225823 
Ba42c686 Cr84z24 76628 nou 2 

Ba42c691 eD44z4 60 LER ERX, 

Baa42c6a5 Ep PUSH ERX 

aa42c696 56 FUSH ESI 

Ba42c697 ES SE7S2E00 

Aa4SC69C 804024 60 LEA EC, 

Ba42cena 51 FUSH ECX 

aa42Ccen1i 56 PUSH ESI 

DAC 805424 10 LEA EDX 

Ba42cene 62 rTSE6rT2B8B8 | PUSH UNICODE "The following error ace 
Ae4SC60B 52 PUSH EDX mfco98u.780454EB 
Ba42cenc FF15E F448728 CALL OWORO PTR DS:E£&mfo98u.s2527»1| mfoS98u.78h]25D48 
Ba42cop2 804424 24 LEA EAX, DWORD PTR SS: CESP+24] 

ARASCEBE 53 PUSH EBX 

AR4SCEB? Ep FUSH ERX 

AR4SCEBS Es FS3DCFFFF |CALL DriverFi.@643A3Bea 

AR4SCEBO . $304 18 HDD ESP,13 

anáscecn || i+ Es srejeaaa | JAP BE ivern i BEER, sen 

Ba42cec5 * 804024 28 LEA ECX, 

aan42ceco . El FUSH ECX 

DACH eD4Cc24 18 LEA ECX, DWORD PTR SS:F[ESP-181 

ARÁSCECE FF15 6445720 DWORD PTR DS:L£&mfc390u.4298»] | mfc98u.78n&8CF3 
BBa42cenp4 Cra424 Freeze) HON 3 

Ba42cenpr eD4C24 14 LEA ECX, 

Ba42Cc6E3 FF1S 4044728 EBEE DWORD PTR DS:L£&mfos38u.:16622»1| mfcSBu. FEAESEAC 
Be43C6E9 2905424 14 LER EDH, DWORD PTR SS:[ESP*141 = 
Añd4dS3F4aFN AS TadFEAF2HRA |PIISH UG TT "mk" 


RS 





Vamos a subir hasta el principio de la rutina para averiguar como evitar esta comprobación: 


- [CPU - main thread, module DriverFi] 












Running pm 44|X| Kill "tu Rel Te) ali as 

Baa 2c 2FC CC IHTS H 

Ba4scsrFD ES INTZ : 

Ba4s3csFE CC INTZ - 

ada3c3FF CC IHT3 H 

DAC AED = éA FF PUSH -i : 

Bgaasca4ns . 68 CCECGEOR |PUSH DriverFi.@86FFCrC d 

lef eck 64:01 Gomm MOU EAX, DWORD PTR FS:ra83J d 

GA AED Ep PUSH EA} 3 

Baa4sc4aE SIEC 548z888| SUB ESP,254 : 

Ae4SC4 14 Hi 34627900 |MOU EA}, OWORO PTR DS:r?9B2334] 

Ba42c419 3304 “OR EAX, ESP 

A643041É 298424 50020| MOU DEED PTR SIESS, EA 

EISE e 53 PUSH EEN 

B64sC423 55 FUSH EBF 

Ba42c424 56 PUSH ESI 

B64SC425 5? PUSH EDI 

DAC AE, Hi 34627908 |MOU ERX. OWORO PTR DS:r?9B2334] 

Ba4sc4sB 3304 “OR EA, ESP 

DAC A2 Ep PUSH EA} 

DAC AE S085424 68026) LEA ERX, 

DAC AE 64:02 aaaaaa|MOJ DWORD PTR FS:I81,ERX ¡ 

DAC AE 33068 “OR EBX, EBX i 

Ae4SC4 30 6A 37 FUSH 37 n = 37? (55.) ] 

Ba423Cc43F 804424 20 LEA EA, DWORD PTR SS: CESP+201 ] 

Ba42c443 53 PUSH EBX c = AS ] 

EISËE EE) 5a PUSH EA} s = 96180156 1 

DAC AE agro MOL EDI,ECX 1 

DAC dé Be5c24 34 HOL BL 1 

BE4+SC446 ES GSB6cbH | REE JP. memset id 

‘ im! 

Local call from BA4H1266 ^ 
Copy pane to clipboard | 
Go to CALL From 00401266 





[e] File View Debug Plugins Options Window Help Tools BreakPoint-> 








-ioj x! 
=15 xj 









Command Appearance + 


Thread DOODOFBS terminated, exit code 0 


== 


Vemos que la rutina se llama desde 4012B6. Hacemos clic con el botón derecho y 
seleccionamos “Go to CALL from 4012B6”: 


http://masteracsi.ual.es/ 


- [CPU - main thread, module DriverFi] 













Running 






[e] Fie View Debug Plugins Options Window Help Tools BreakPoint-> 


edd Si KI wv ali el] 




































































Haşa zsp GH ad [EUSEB Argi = maamaana 
DAD 20 SO4Ce4 DC LEA ECH [ 

DAT 295 ES *SHARSHE OriverFi.8843B018 
Dal 295 Créd4e4 1926846) MOL) e, El 





DA ZH7 6A Hb PUSH B Argi = BREE 
Dap) ZE ODaL 29 D GC —————Y [ 

Dap) 202 ES D2HaBm3ad Or iverF i. Ad BS 
DAT AE Ga H TEST as AL 





DA ZZ 
Bada812B5 








werd B3 
» |SD4c24 B4 
: ES 45618368 


JE 
CAL EC 


















DA) Zb ES ot RRR 

60441200 25614 GI E Da, pd DIR D5:LEBX] 
6441202 SBCs HOU ECK 

0441204 ab42 38 MOL) FAM, Guer FTR DS: LEDET381 
DA) ZC FFOÉ EAS 

DA) ZC Cre424 14200 -— 
660461204 SO4C24 Aq 

660441205 ES r3H3Ba3BH 

86844100 BS 61666666 | MOL! EA, 1 

Dal Z2EZ SBSC24 GC MOD ECR, 

DA) 2EO 64d: 53960 bebe) MOL) DWORD PTR FS:L8],ECX 

DA) ZE GK POP ECs USERSZ.rrD191*9B 
6604412F1 S1iC4 71424666 ADO ESP, zarg 

BB4B12F7 C8 RETH 


4 


- [CPU - thread DODODFOC, n 





[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 







Hdda81-2B2z 
DAT BE 














ex 44| X 


werd B9 
: ESE H4 
A 





Pj be wé 


ko AR = 





ES 456163466 









0040128E ES sara) 

Bede 1 SCH 5B16 MOU ED», DWORD PTR OS: [EAx] 

Bede eC? BECS MOU ECH, EAN mFc9Bu. 7SCSOFA1 
Bede 12C4 5642 38 MOU Ex, DWORD PTR OS: [EDx+38] 

aadal SC? FEDA CALE Ep neu, 78CSOFA1 








http://masteracsi.ual.es/ 


zm 


tes lx Ix 






SEEP 3304 MOR EAS, ESP 

üB4Bizr 5B PUSH ERX 

10481280 808424 60200 LEA ERN, 

SEET 64:3 ABBR NOW DWORD PTR FS:[6], EAX 

66481280 6A a Aral = müde) 

a048128F Spaces og — |LEH ECK [ 

BaBáelzs9s ES 78AAB300 Dr iverF i. 00426010 

10401298 Cosi 74200 DH .Ü 

60481243 6A Ba Aral = BABABAGA 

Bede 20 804024 B8 LER ECH, DWORD PTR zeen [ 

Bede 202 ES Dzhamsaa Dr iverF i. 00426280 

AB4BIZAE | . GC TEST SS AL 

ag4ai2Ba .v 74 B3 JE 

üeábicB2 | .  BD4Ce4 a4 EM ECH 

üB4Bl2zBé | . ES 45610206 

ABdGi2Be | > ES optoonoo 

gedeizcea | . Bia Gi EDs, DWORD PTR DS: TEAR 

ETENE SECS HOLU ECH, E 

SEENTE B642 38 HOU EAS" DWORD PTR DS: CEDX+38] 

BB4Bl2CrT FFOG ERY 

ETTEN C7424 74206 -1 

Bede1 204 SodCe4 B4 

Bede 1 208 ES 73030300 

664681200 ES 61066008 | MOU EAX, 1 

GDo4p1 SES SBBC24 6Czae) MOU ECH, 

AGde12E9 64: 8580 6668 MOU DWORD PTR FS:L81.ECX 

BB4Bl2FB 59 FOP ECH USERS2. 77019198 

Goo4p12EI S1C4 7420000) ADD ESP, 2674 

Ok ag c3 RETH = 

4 

La pregunta que se nos plantea ahora es como poder evitar este CALL. Vemos que hay 

un JE dos lineas mas arriba que pasa saltando por nuestro CALL. Pongamos un punto de ruptura 
y ejecutamos la aplicación: 

- [CPU - main thread, module DriverFi] = [pi > 
[e] File View Debug Plugins Options Window Help Tools BreakPoint-> = CAE 
Running — "Eddi X| KI) € KI all - f 
Bedale “OR EAH, ESP «| 
aBdelzvF PUSH EAX 
Go481 208 &DB8424 &cz88| LER EAN, El 
pa4a1287 64:03 6080898 MOU DWORD PTR Fs:[01,EAx 


ES 


| d fiai se de 


Vemos que Olly no salta. Cambiemos el valor de la bandera Z para que salte: 





- [CPU - thread OOO00FOC, module DriverFi] El [mi sl 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> -|a| xj 
ix dd X| KI bot El 9 


werd Di 
aa4ad12B2 a Ee ad 
A 























a f Registers [FPU] 


EAs racaDFBl mfo98u.rsCc3DF 
B6362001 









LEA EC 
464481266 ES 45610500 















Badal SBE ES GEO SE 

ap4aieca | . SB18 MOU EDX, WORD PTR DS: LEA] SE Gat BREE 

ap4aiece | | SECS MOU ECH, EAX mfcSBu. 7ECSDFA1 EE 

ooagi 22 | | SB42 38 MOJ EAX, DWORD PTR DS:IEDX*381 EE ensis 

464441207 . “FFOR EAH mnf cty. TeCSDFA1 ESI ABED2256 

aadaizcs | . Cr8424 r4280|HOU =i So gears 

Baal 204 ,. &8D4C24 Ad LEA EC 

6441208 . ES TASAS EIF 86461268 Or iverFi.hh4a 
sa4a1d 00 , Es Bldg | NOW EAX, 1 : 

aadaizee | . SBSC24 6c200| MOU ECK, EE 
98401269 | . 64:8900 gapa MOU DWORD PTR FS:L61,ECX E 
pibe 1 ZE , 59 FOF EC E 

Aad SEI gara Ta42nnnhal ann FSP.?n74 e 1 DS 8823 Sebit BIFFFFF 


Pulsamos F9: 


| 2 PRIVEREINDE?R  _iniciar Escaneo > 


Powered by eXact Match Technology Actualizar Sus Drivers 




















— 


4 Resumen Disposifivos 


7 de Drivers DESACTUALIZADOS Encontrados! 
Resultados 


[O] 0 de Actualizaciones de Drivers IGNORADAS 
Backup — 
Ka de Drivers ACTUALIZADOS 


a Restaurar cv 
Kc 91 Escaneado del Total de Drivers 


Configuración 


SOLUCION Hada clic en DESCARGAR TODOS uS para NERA las drivers 

más recientes (1) para solucionar los problemas actuales de drivers (23 para | 
beneficiarse de las nuevas funcionalidades de drivers de los fabricantes de hardware, | 
(3) para evitar problemas futuros del sistema. 


Ultimo Escaneo: August 27, 2015 01:05 PM 


7 ¡LOS DRIVERS ESTÁN DESACTUALIZADOS! [MiS us d 


m Acerca de g Soporte Y Ayuda 





Y volvemos a estar registrados. 


A continuación hacemos que los parches sean permanentes. Empezamos por el último, 
cambiamos la instrucción JE por JMP: 


http://masteracsi.ual.es/ 







- [CPU - main thread, module DriverFi] - | 
[e] File View Debug Plugins Options Window Help Tools BreakPoint- = 
i| 44 Si Kill) bat | a 


mBáBlz6E | . ES 68260688 | MO EAX, 2665 
ouni | . ES FBeezFan 
BB4BizrB | . Al 94827900 | MOU EAS, DWORD PTR DS:L79B224] 


xi 
LIMA SHORT 00407 ¿BB -| [^ = masa 


, DriverF i. 00426018 
BS l Í Argi = BB 
Ié Fill with NOP's | Assemble | Cancel | [ 
Dr iverF i. 00426258 


werd 89 JE 
EISES E Ee B4 LEA ECH 


aan4a12B6 . | ES 45610300 
aa4a12BB > SES SsüaüFaaaaa8 

aa4aizcn . SBi18 HOU ED, DWORD PTR OS: CEAS] 

DAD) SC . SECS HOU ECH, EA] 

a64a1204 . SBB42 38 HOU EAS, DWORD PTR OS: rEDx-32]1 

aa4a12c7 . FFna ERX 

DAD) ZC .  Ceëdzd 79266) HON 

66441204 . SD4C24 64 LEA ECX 

aan4a12nDes . ES r3nass388 | CALL 

668441200 . BS 6166668646 |MOU EAH, i 

aşa] ZEZ . 2ESC24 &c288| MO ECH, 

Ba4812E29 . £4:296D aaa MOL DWORD PTR FS:L8l,ECE 

aa4a12rFa . 59 FOP EC kerne 132. 70381604F 
an4a12F1 . 3104 74268600 ADD ESP, 2074 

Ba4n12F7 . cs RETH 

ARAL APS IT: IHTZ 

4 


- [CPU - main thread, module DriverFi] - 
[e] Fie View Debug Plugins Options Window Help Tools BreakPoint-> 
edd X| KI ej Ach ai oa 


DA) 26E . BS 68288808 | MOL EAS, 2865 

DAD) ZC . ES FSe6e2Füd 

DRAI Ze . Al 946279060 "OU EAs, OWORO PTR DS: [796294] 

amas: . 3304 AUR EAs, ESP 

Dao) 5B PUSH EHa 

b64a123 . 808424 6C206| LEA EAs, 

Hadhi zar » 84:03 BR6B66| MOL OWORD PTR FS:[61, EAS 

DA) z220 , 5H HH PUSH & Argi = BERBERS 

BE46129F » 804024 DC LEA ECx [ 

664081293 » ES *SHARSEE Or iverF i. 88456018 

6640812293 . Craded 7142568] MOL) 

Q684412A3 . EA HH PUSH & Argi = mamada 

DAD) 205 .  BSD4Cc24 D LEA ECZ [ 

DAD) 209 . ES D2ARASAn DriverFi.mmdspasH 

nagai ZOE .  B&4rB TEST H: HL 
EB Ha JE SHORT DriverF i. Bal Zb 

DA) 262 .  BD4Cc24 Da LEA EC& 

468441266 . ES 4561405468 
ES "aram 
5610 








OO 


hahah Po 
24 7 7 7 


C TIC 


HOU EDs, DWORD PTR DS: CEA] 

MOL ECs, EAS 

HOU EAs, OWORO PTR OS: CEDs+38] 

FEO EAs 
Cre424 r4288 
eD4C24 B4 
ES OU 

. BS 81668808 | MOL EBE,1 

DAD) ZE . SBSC24 £6C2846| MOL ECH, 

DA) ZE . Där G2 maa nou DWORD PTR FS: Ce],ECs 

DA) ZE E POP EL a kerne loz. fCS1604F 

Be4e12F 1 . 8104 714260646) HDD ESP, 2474 

DA) ZE SE 

Fidi 1 FO Ce THTA 

4 


Hacemos lo mismo con el primer punto de ruptura: 


http://masteracsi.ual.es/ 


zn 


Ix [x 

















- [CPU - main thread, module Drive Fi IB 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 







DAP 
BE4SBR6F 
Geh GER: 


Em 44 X| KI bot 


HE | 4 
SB96 4528888) MOL EDR, DWORD PTR DS: CESI+2649)] 
zn PUSH EDI 

PUSH EAs 


x 
LIMP 00438185 -| 


Iv Fill with NOP's 


DAD 
DAP 
DAOU 
BE4SBHH6 
Bad 3BBans 
aad 3Babn 
Bad 3BBB5 
DAP 
DRAZPOEE 
DAP 9 
DAP A 
BE4SBHC5 
DAOU 
BE4SB6C0 
BE4SBRCF 
aad spar 
Fi SERT: 
4 








22] 







Cancel | 
BFS4 ECBamaa 
Sso4Ce4 14 LEA ECs, 
FF15 DC4A726| CALL DWORD PTR Dës Cf cu, #296 >] 
SSFE 64 CHF ESI,64 


sibs esca od 
Cesde4 8709 MOL! a=) 


68 61020066 | PUSH 261 
SD4Cz4 i8 [LEA ECs, WORD PTR SS: TESP+18] 
Zi EpAne2p ERN E WORD PTR DS:LZkmfooBu.144425] 


5 
305424 15 E ED, DWORD PTR Së: [ESP+18] 
USH 


Ez F 
ES s&maaana | Ip 
SSFE ar CHP ESI,? 


Or iverF i. 00436150 
Codes 10020 MD) BESSE 
Cée424 Freeze) HOU n 


6S 62626008 | FUSH 262 
FR &? IMP 









- [CPU - main thread, module DriverFi] 
[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 


BE4SBH69 
BE4SBR6F 
aagd3bpara 
Be4SBe7 1 
aad3Bar 2 
aag43Bpar3 
aad3bara 
aag43Barc 
BE4S6851 
BE4SBHSS 
BE4SBRS5 
BE4SBR59 
BE4S685A 
BE4SBR5E 
SEESE) 


aad3pasa 
BE4SBR99 
468436890 
Be4S BRAS 
BE4SBRA6 
BE4S BRAS 
BE4SBRBR 
BE4SBRB5 
BE4SBRBS 
Be4SBEBF 
aad3Bpac] 
aa43paca 
ag43Bpacs 
Be4S68CA 
Be4S68C0 
Be4SBRCF 
AAA SBBET? 
4 





fa) 44| Si kl 


eje Ep | > 
56% 4528888) MOL EDs, OWORO PTR DS: TESI+26485] 
zi PUSH EDI 















5B PUSH EAR 
5i PUSH ECX 
52 PUSH EDX 
ES 55592200 


BB4C24 24 MOL ECs 
PUSH GESS 


63 B5onmpaana 
MOLI EST, EA» 


SEFA 
Al 25641306 | MOL EA», OWORO PTR DS: [196425] 
5B PUSH EAR 

































EE PUSH EBF 

Ei PUSH ECS 

ES 17FC2AB6 | CALL 

SsES øl SUB EAM, 1 

ES Enanmaaga | JHP DriverFi.0043B185 

a HOF 

&eD4C24 14 LER ECH, DWORD PTR SS: [ESP+141 
FF15 DC4A720 ALE DWORD PTR DS:Iz&mfc98u.1235651 
SSFE 64 CHF ESI,&4 


ro 22 

Cóndzd rSu28 
63 61020006 
204824 13 
FF15 EB4Hr 28 
53 

205424 18 
52 

ES 36868888 
SSFE Br 


HOL 
PUSH. 261 
LEA ECH, DWORD PTR SS: [ESP+15] 

CALL Dn PTR DS:Iz&mfo98u.144427] 


rÊ 






Gë ASAPARRA | PISH 26? 


Guardamos los cambios a un ejecutable nuevo y listo. 


Arg4 = rC920r39 
Hras = mamandgad 
Arge = malisFFBa 
Argi = TC91EB94 


DriverFi. BREF SAB 
kernel32.rrC816D53 
Hrg4 = HABRABES 


Aras Guadiana 
Hraz BHISFFFE 
Arai = malsFFBEBH 
Or iverF i. S86ERCA? 


mto9BHu.rsHa32829 


mto9HBu.rsH34963? 


ntdllL.KiFastSystemCal (Rer 


Hrad = rCS928738 
Aras = mamma 
Arge = maisFFBa 
Argi = rCS91EB94 


DriverFi. HG SABE 
kerne L352. 70516055 
Arad = BmBmadmgag5s 


Aras = BARRERAS 
Arge = maisFFFa 
Argi = maisFFBaB 


Dr iverFi. HeEEACAY 


mf chy. r 2A339529 


mf chu. PSAS4969 


ntdll.KiFastSystemCal [Ret 


-|[ni x 
-|| x 
=| IF]? 
-Joj x 
-|a| x 
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8.5 Desembalaje rapido de PEcompact 


Descargamos PlistEditor Pro 2.0.0 de internet, instalamos la aplicación y la ejecutamos: 


i plist Editor Pro for Windows 


re S ES F T [ SW Jr SCH E io 
|] = | Sr ah y E : DES E Kéi 





Seleccionamos la pestaña "Help" -> “About” 
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A continuación seleccionamos “Help” -> “Register...” e introducimos nuestros datos: 


Register plist Editor Pro 


Thank you for using plist Editor Pro 


This iz TRIAL version of plist Editor Pro, Please purchase it to get rid of this 
message and remove all limitation. 


Why purchase plist Editor Pro? 
e ‘four own personalized registration key and priority email support. 
* You can use plist Editor Pro with na limitations. 
e You'll get all future versions for free. 


+ Support development of plist Editor Pra. 
Click here to purchase it online, you will get your registration code soon! 


manuel | 


121212121212) | 
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Pulsamos en “Register” y nos sale el siguiente mensaje: 


x| 


i Invalid register code! 
J) Notice: 


1.The reg code too long, so please copy and paste From email, don't enter it character by character, 
2. The reg name and reg code are case sensitive, 





Esto es todo lo que necesitamos por el momento. Vamos a ver si la aplicación esta 
empaquetada. Para ello la cargamos en ExeinfoPE: 








E; JExeinfo PE - ver.0.0.3.0 by A.5.L - 617 sign 2011.07.29: Mia |S} x] 
File :| [plistEditor.exe nl pl [d 
Entry Point: [nnoo1264 ` [oo =| EP Section: [text — — d e] some 
sey) File Offset ` [0000454 First Bytes ` [E&;Sc AS DE. -| § | Plug | 
— --— 
Sr Linker Info ; [5.22 Subsystem : windows GUI Late)! 
! = File Size : lon2cse7ah =| Overlay : laoooicra ` Options | 
d | 
$4 Image is 32bit executable RES/O¥L:3/0% 7? Exit | 


sl poco SU 





Vemos que está empaquetada con la versión 2.78a hata 3.0.3.9, por lo que tenemos que 
desempaqueter primero la aplicación. 


Abrimos Olly y cargamos la aplicación. A los pocos segundos nos sale el siguiente 
mensaje: 


Compressed code? l x] 


Zb `. Quick statistical test of module 'plistEdi' reports that its code section is either compressed, encrypted, or contains large amount of embedded data. Results of 
eJ code analysis can be very unreliable or simply wrong. Do vau wank to continue analysis? 


Em dI mu] 


Seleccionamos “No”. Vamos a la pestaña Plugins y seleccionamos “ODbgScript” -> 
"Run Script...”: 
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File View Debug | Plugins Options Window Help Tools BreakPoint-> 
























1 Olly Advanced : te) ali =: 
2 AnalvzeThis ka 
3 ASCIITable k 
CIEENJ - 0 m 
dec ede 2 IDAFicakor k [rFs:r8],EsP 
pede 234 soa 6 Maplony * fos: CEA], EC 
PEE Ge 7 MnemonicHelp k 
De DISSE Se a MUltimate Assembler loro ce. rn? OU COMM 
4644126 e mE "Let command 
SE - 79, 3 oDbgscripE V Run Script... 
Dal ZU Er: SOUPE Script Window... Supertluous prefix 
Biada12Hh DIE  OlvVEHelper + l 
DAT ZAC CO Log Window... 
6646812AE DD Breakpoint Manager d 
66441264 FTE 
a64a12BA B4 E : Help 
Sa | Bomm up ee Pm 
Dao) Za E6 35 OUT 35, AL About 1-0 command 
CIE, sd Sne" 
ag4dg12cD Ee Ed Unknown command 
Dao) CE DE PUSH ES 
Dao) ZE 24 57 ARO AL,S? 
SE 
GE Ge BrüHra5 ie D PTR DS:LrECRTECUXEMZ-B5ErP? 
m He CAPS BYTE FTR O0S:[ESI]. BYTE FTR ES: 
4 


comm and = | 
| Program entry point | 


Seleccionamos el script y hacemos clic en "Abrir": 





Select Script 


Buscar er E Easy unpacking | da 


E] Pelompact z.xx - 3, xx OEP Finder 


a Eee 








SÉ 


Documentos 
recientes 


Escritorio 


Mis documentos 


Mis SCH SÉ m Tipo: NR Scripts -| Cancelar | 


[ Abrir como archivo de sólo lectura 





E 
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MSG ODbgScript X] 


.1 ) OEP Found!: 0x401284 


Hacemos clic en ‘Aceptar’ y regresaremos a Olly justo en OEP: 


File View Debug Plugins Options Window Help Tools BreakPoint-> 
ex 44| X 









cd LL nat e ic e tae EE 





=10/x] 






CPU - main thread, module plistEdi 







1401234 
46dA1235 
aaan128r7 









55 
S9ES 
SSEC 18 


PUSH EBP 
MOL EPP, ESP 
SUB ESP, 15 

































PttttttRRRttPTTTTTTTS 


===) EE 










4441228 Cre424 DZ EE 

HAL 2091 FF15 8851068 OWORO PTR 05: [065148] mzvcrt.  zet app type 
4441237 ES &A4FDFFFF 

4441230 55 PUSH EBF 

44441290 GOEE HOU EBP,ESP 

a444123F SSEC HZ SUB ESF, 

DAD 202 Al B4510688 HOW EA, OWORO PIR OS: [0651641 

DAD Ar co LEAVE 

He461208 FFEH JAF EAS plistEdi. «Modu leEntryPoint > 
a44412AR 66:95 HOP 

a44412AC 55 PUSH EBF 

4441 200 S9ES HOJ EBP, ESF 

444412AF SSEC HZ SUB ESF, 

444412862 Al 45510644 POL EAX,OWORD PTA DS: [0651461 

44441267 pu LEAWE 

4441285 LEES AP ERE pDltsrkdt, {Mody leEntryPoint > 
4441268 38 HOP 

444412BE a HOP 

444412860 55 PUSH EBF 

44441260 GOEE HOU EBP, ESP 

a444128EF SSEC 12 SUB ESP, 15 

4441202 Creid2d HADAREA HOU DWORD PTR S8: [ESP], ASCII "Libacc s dwuz-1.dLll" 
64441203 ES 32LH43ü8B JHF to kecnel32, hetHoduleHandleA 
a44412CE 52 PUSH EDX ntdll.KiFastSystemCal LRet 
HAL CF abr TEST EAs, EAR plistEdi.zHodu leEntryPoint > 
He461201 r4 65 

4441203 Cr4424 64 13506) MOLI ASCII " register frame info" 
44441206 GO 24 HOL plistEdi.zHodu leEntryPoint > 
"m ES 25LDBH43d0dH JHF to kernel32.GetProchHddrezsz 
4 


Command | 
BECH NA 


Seleccionamos la pestaña “Plugin” -> “OllyDump” -> “Dump debugged process”: 
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SN o LÍ BOES 


File View Debug | Plugins Options Window Help Tools BreakPoint-> 
1 Olly Advanced PE oli = 



























z2 AnalvzeThis » 
3 A*SCIITable k 
== EE wy ne e (E E RE E E, 

d CommandBar + 

5 IDAFicakar k E 

& MapConwv P 0S: [065145] maucrt. set app type 
Bana 20E T MnemonicHelp d 
Dal 22 SSE : 
66481202 al 6 MUltimate Assembler * lora ge. [0651B4] 
66448124 : 
endeizns |^ FFE 3 ODbgseript : elicec4i “Modu leEntryPoint > 

Hal “HH : Al ralhar m i 

00 401240 SS 0 " um k Dump debugged process 
Bese 2A OllvvBHelper + 
pagai ZAF SSE Find OEP by Section Hop (Trace intoj 
Bada12B2 Al Breakpoint Manager l 
Ba4812B7 co Find CEP by Section Hop (Trace over} 
HA4H12B5 |^ FFE LeEntryPoint > 
644481264 an 
ag4as12BB Op Options 
Dap) ZP 55 
664481 zE S9ES 
Dal ZEF SSEC 15 About 
641202 Cred24 DOE == _dw2-1.dll” 
Dal ZC ES 32CH49688 JHP to kecnel32. GetHodu leHandleA 
Dal ZE 52 ntdll.KiFastSustemballRet 
DA ZE GC PListEdi.<Mody leEntryPoint > 
664681201 ~ Cé 65 
6684681203 Cr4424 64 13508 ASCII " register frame infa" 
66441206 2940424 plistEdi.zMadu leEntryPoint > 
mm ES 25CH42988 JHF to kernel32z.GetProcHddressz 
4 


Command -| 
| UU 


Y se abre la siguiente pantalla: 


OllyDump - plistEditor.exe E x| 


Start Address: Size: ES 
Entry Point: [1284 -> Modify: [1284 Get EIP as OEP | Cancel | 


Base of Code: [1000 Base of Data: [eE 2000 


lw Fix Raw Size & Offset of Dump Image 











Virtual Offset Raw Offset 


text OOSECOO0 ` OO00T000 LU CU  OOO0T000 EOS00060 
ASIC 0001 000 OOSEDOUO ` 0001000 OOSEDOUO ` =EQOU0020 


Je Rebuild Import 
(* Methodi : Search JMPJAPI] | C&LL[API] in memory image 
( Method? : Search DLL & AFI name string in dumped file 


En este caso no tenemos que cambiar nada, solo hacemos clic en “Dump”. Guardamos 
el nuevo archivo y ya hemos desempaquetado (o desembalado) PEcompact. 
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Save Dump to File 








Ax 
Guardar er | 3 plist Edito Pro -| 4 [e£] AE 
Fe. iBackupBot,app 
Léi plistEditor 
Documentos (3 uninst 


recientes 


Escritorio 


A 
deu 
Wach 
h 
Kä 


Mis documentos 


BI 
Mi P 





Mis sitios nl Mombre: [desempaquetado MM | 
Tipa: | Executable file[* exe) * | Cancelar 
E 


Ejecutamos la aplicación desempaquetada en Olly. Vemos que carga correctamente 
Pulsamos F9 y sale la pantalla de inicio. Seleccionamos la pestaña “Help” -> “About”: 
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FS plist Editor Pro for Windows Bl x| 
File Edit "view Help 


| x [| S| el 


XML view | List view | 
i 


xi 
i ) plistEditor Pro v z.1 Far Windows 


Unregistered Version, 





Buscamos la cadena de texto “Unregistered Version”: 


Text strings referenced in desempag:.text E [mi x] 
Address | Oisassembly Text string al 





He44C637| nou OWORO PTR 9 UNICODE '""-plist Editor Pro" 

a6844C6A46 nau OWORO PTR § UNICODE '"reaister.dat" 

HA DEI HON OWORD PTR § ASCII "Hezeage" 

HeE44C7°F 6) MOL DOUD PTR SUNICOOE "Can't write to app data file, please contact suppaortiBicaor 
HAAG HOW OWORO PTR 8 ASCII "Hezzaae" 

HA OO HOW DWORD PTR § UNICODE "Thank you for register plist Editor Prot" 

HE44CE 7S!) HOW CWORD PTR 8 ASCII "Hezeaage" 

HAAL DOE" mou DOUD PTR 8 UNICODE "Already Reairstered*-nLicenze to: " 

HE44C085| MOL CWORD PTR 8 ASCII "Choose a plist File" 

HE44CCES| NOW OWORD PTR S ASCII "plist files (#. plist) i#.plist™ 

HE44C099) MOL OWORO PTR § ASCII "filedlg"” 

aR44CEFST HOW OWORO PTR 8 ASCII "plistEditor Pro U 2.1" 

He44CF04|) HOW OWORO PTR § UNICODE " for Windows" 

64440453) mou OWORD PTR € UNICODE "=n =nUnregistered Version.” 

a6844D0478| MOL OWORO PTR 8 ASCII "Welcome to..." 

HE4406ER|) HOW CWORD PTR S UNICODE "Unregistered" 

HE4406FC) mau OWORD PTR § UNICODE "\n™=nLicense to: " 

HE44017A) MOL OWORO PTR S8 UNICODE "plist Editor Pro for Windows" 

HA44027H) MOL OWORO PTR 9 ASCII "plist Editor Pro UJ 2.1" 

HE4406 74) HOW CWORD PTR S UNICODE "Data" 

HE440BFC) ASCII "SB. APE, E 
a6844D0€r| MOL OWORO PTR 8 UNICODE "plistEditor" 

Hö44DEGA HOW OWORD PTR 8 UNICODE “plist Editor for Windows” 

HR44ERF 6) HOU OWORD PTR 8 ASCII "Hezeage" 

HE44E1ES| MOL OWORO PTR 8 ASCII "File doesn't exists.” 

HE44ES538F) HOW OWORO PTR 8 ASCII "Export to" 

HR44E 60") MOL OWORO PTR S UNICODE "#.#i4. 4" 

HR44E FEA) MOL OWORO PTR 9S ASCII "filedlg"” 

HE44E9EB| MOL OWORO PTR 8 ASCII "Export to" SE 
HE44EB PF) HON OWORO PTR 8 ASCII "Property List Filel*.plistli*.pli=t” 


Af | el z 


Hacemos doble clic sobre la línea seleccionada: 
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SN  —“_ -|5) x) 


File View Debug Plugins Options Window Help Tools BreakPoint-> 
44] KI ee ee) ail al a 


CPU - main thread, module desempag 









































46440621 a HOP 

644022 66:9 HOP 

46440424 be FUSH EDI ntdl l. C9320738 
AA440025 DE FUSH ESI 

He440826 53 PUSH EBA 

64407 SSEC 68 SUB ESP, 68 

HA4400240 SOSCe4 3C LEA EB 

Be44062E Cr4424 64 DI NOW all 

44440036 91024 MOLI EBs 

46440439 ES 2AFFFFFF 

HA44063E 54 PUSH EAA 

He44063F Cre424 F040 HOL 

a6440046 ES 55%915CH64 

46440546 S4CH TEST AL,AL 

6440640 BFS4 snpaaaaa|.JE 

44404653 CEr4dd2d4 64 BS) MOL! S UNICODE '"n*nlnregistered Uerzion." 
46440656 2915024 HOL EBs 

HA44065E ES 61rC5B8046 

BA440663 Al B42iAEbe EAs, OWORO PTR OS: EREZ21B41 

6440655 a9ddod A4 HOI EAs 

4644045 2D0rC24 54 LEA 

64404674 a93C24 „EOI ntdl l.r C3260735 
DAD ez ES 4675580 

DAD et Cr4éde4 Da ES ASCII "Welcome to...” 
44440054 20r4d24 48 

64404034 93424 TESI 

44440457 ES F4r358046 

DAD S3FH How EO, EOI ntdl l.r C9260738 
HA44068E SF MOL EAR, ESI 

66440034 ES 39°65FFFF 

Erde Cr4424 14 FF) ROU eal 

mum Cr4424 18 FF) ROU T 

4 


Command Y | 
Program entry point | 





Vemos una combinación de comparar/saltar justo antes del “bad boy". Si nos situamos 
encima del salto en la dirección 44D04D vemos que nos lleva al “good boy". 


Si ponemos un punto de ruptura antes y después del CALL en la dirección 44D046 
veremos que el valor de AL depende de este CALL. 


Podríamos parchear solo el salto, pero esto solo eliminaría el cuadro de dialogo de 
" About". Por el contrario si entramos en el CALL esto eliminará todas las comprobaciones que 


son usadas en el CALL. 


Seleccionamos por lo tanto la línea del CALL y ponemos un punto de ruptura. Después 
de seleccionar “Help” -> “About” Olly se detiene en 44D046: 
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File View Debug Plugins Options Window Help Tools BreakPoint-> 
[44 X| Kl Se ee) EIS a 


=10/x] 








CPU - main thread, module desempag 






GIE IS IS 
AA440840 
GES (RSR 











ES §5915Ce8 
a TEST AL,AL 


acm 
Bre4 oppe JE 
Cr44z4 Ad BS MOL 









,desempag,BgaFzcBs UNICODE '"«n*nlnreaistered Wers 
















644065 291024 MOLI EB 
Ae4+4085E GREIS 

46440663 H1 E421AEġġ | AOU EAs, OWORO PTR OS: [AE-1641 
68440668 294424 Da MOL) EAK 
4644066. SO0rC24 54 LEA 

Aa440878 224 MOL) 

GES IR ES 46755688 

Be440875 Cr4d2d 84 ES ASCII “Welcome to..." 
Aa440838 eDr42z4 45 

46440034 293424 

Be4+40857 ES Fé rsSbae 

Be4+4083C SFA ED, EDI 

Aa4+4083E SOF EAs, EST 

46440030 ES 9PÉSFFFF 

68440095 Cr442e4 14 FF 

Ae440890 Cr4424 16 FF 

DAD SBo4e4 CH 

68440649 295424 BL 

Be4408A0 Créde4 BE BE 

DAAT 294424 Da 

Be4408B9 291024 

Be4+4086C ES GbOOpop 

46440401 93424 

Ae4408C4 ES 67° SSBe8 

BE4408C9 23324 

Be4+408CC0 ES BFrBB5BBB 

66440601 291024 

eaae ES Been 


‘| 





Command z | 
| Break point at desempad.00440046 | 


Antes de entrar en el CALL recordemos que queremos que AL (EAX) sea igual a cero 
cuando regrese del CALL ya que de esta forma tomaremos el salto en 44D04D. 


Pulsamos F7: 
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File View Debug Plugins Options Window Help Tools BreakPoint-> 
ix 44 X) mH €t IE a 


CPU - main thread, module desempagq 





ai 





4641616 
B6A161A5 
B6A161A6 
HHALE1Ar 
BHALE1AS 
HHALE1AS 
HHA161AA 
HHA161AD 
aanicoibi 
BHALE1BS 
HHA161BA 
BHALE1BC 
aanieicas 
Doll 
aanieica 
HHA1E1CA 
HHA1E1CO 
66416106 
B6A16101 
B6A16102 
B6A16103 
66416104 
HHA16106 
BHA1E108 
4641610 
BER161EH 
HHA1E1E4 
BHALE1ES 
HHALE1EB 
Doll 
BHALEIFS 
BHALE1FC 
BEALE 1FF 
GENEE 


4 


EA 


ES SSFFFFFF 
ED 


SBrde24 4B 
SB44e24 44 
CRL 29 45 mna 
r4 18 

augd4d24 m4 
EE E 

ES ACOSAAFF 
Sock TEST EAR, EAS 
SETE AL 

HDD ESP, 34 
POP EBs 

POP ESI 


HOP 
TEST EAs, EAS 


505424 ZE 
GE ES ma 
34424 m4 
GDL 24 2B 
agsic24 

ES brC1ICBH28B 
Crd4d24 24 ma 
GOOD 2 Bd 
EE E 

ES 35D6AAFF 
GH 


desempad. 6440646 
dezsempadq. 66440646 





Vemos que esta rutina es llamada de siete lugares diferentes. Como tomamos como 
hipotesis de que esta rutina solo comprueba si estamos registrados o no, vamo a nopear las 
cuatro siguientes líneas y en su lugar escribiremos nuestro propio código. Como queremos que 
AL sea 1gual a cero escribiremos la siguiente instrucción XOR EAX, EAX, y después RETN. 
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File View Debug Plugins 





aanieiss 
Hl ele 
Dol e LO 
aanielisB 
aanielisE 
aanieisrF 
BHAL1E191 
aanieisz 
AHAL1E1 9S 
HeA161 94 
AHA1E1 95 
BHA1E196 
BEALL? 
BHALE1 9S 
HeA1E19S 
BHA1E 194 
HHA16196 
aanniei9c 
aanieisn 
anniei9E 
BEALE 1 SF 
46416146 
B6A161A1 
BEALE LAS 
BHALE1AS 
HALE 1A4 
AHALE1AS 
BEALE 1AG 
DI ele 
BHALE1AS 
HRALELAS 
Dol e LH 
HEAL lu 


arani d 34 Ed 






















ex 44) X 









SSEC 34 
eabrdz4 dp 


Come A A4 dd 


Options 
he | 1] 








HOLU EAX, EBX 
ADO ESP, 18 
POP EBX 
RETH 4 


HOP 
ADR EAS, EA” 


RETH 
HOF 
HOF 
HOF 
HOP 
HOP 
MOP 
HOP 
HOP 
HOP 
HOP 
HOP 
HOP 


PUSH ESI 
PUSH EBA 


SUB ESP, 34 


MOL ESI, 


a rona) 


Command | +] 
A NE: 


Window Help Tools 
eje rji Al - 


CPU - main thread, module desempag 


BreakPoink-> 


Pulsamos F9, y seleccionamos “Help” -> “Register”: 





La plist Editor Pro for Windows 


File Edit View Help 


WML view | List view | 


1 





Message aE 


Already Registered! 
License En: 





plist Editor Pro v 2.1- 


desenpad. 0A440646 


http://masteracsi.ual.es/ 


A la hora de guardar el nuevo ejecutable seleccionaremos solo “copy selection” ya que 
en este caso se trata de una aplicación con código auto modificable y lo unico que queremos 
parchear es el código que nosotros hemos modificado y no aquel código que el programa 
modifica automaticamente: 


EN 210) xi 


File View Debug Plugins Options Window Help Tools BreakPoimt-> 
fe dd vi KI ee DIS e 


CPU - main thread, module desempag EN 
Doll 294424 DA 













































OH 
LA 
E 

















HI) s9ice4 

aanieli?F ES 16616668 desenpaq. SHA16294 
aagieis4 5H PUSH EA% 

aanieiss 3905 MOL EAs, EBs 

aagieisr ADO ESP, 15 


GZ 15 
Dol elo BE 
HEA16156 
HHA1E1SE 
BEA1615F 
AAA16191 
Doll 


POP EBX desenpad. 1444064E 
RETH 4 










HOP 
AUR EHa, EAS 
RETH 










0016193 ag 
telas Sp  BB6l61BE| 90 HOP 

BRS161SF| 2308 ¿OR Ep, EAX 
BBB16196 op 

Ba6l6191| C3 RETH 
BBB16197 ag 

Ba6l6lsz| 38 NOP 
6016198 ag 

Bmae6l6lss| 98 NOP 
BBaBn16199 op 

Ba6l6lo4| 98 NOP 
B@A16198 ag 

mae6l6lss| o8 NOP 
60A161%E op 

ma6l6ise| o8 NOP 
ABALELE ag 

am616197| 38 NOP 
BBBn1619D op 

Ba6l6iss| o8 NOP 
BBBIG19E ag 

Ba6l6ios| 98 NOP 
BGA1619F op 
Ser 28 616190) 28 NOP 
SSES Ba6l6loB| 98 NOP 
601611 aB 

Bae6l6lsc| 98 NOP 
BEALE LAS op 

Ba61619D| 98 NOP 
BBB161B3 ag 

Bae6l6lsE| %0 NOP 
oo) 6104 28 

BaG6l6lsF| 36 NOP 
BBBl61B5 ag 

BA616108) 98 NOP 
aeu e 28 ë BaeleiHi| 36 NOP 
BBRIG1H7 op 
SE ECHT a ocn NOP 


Command | 
A NA 
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8.6 Crackme .net 


Ejecutamos la aplicación CrackMe para una primera toma de contacto: 


Vusial basic Crackme by XORO6 


Please enter the correct code: 


le 


Check it! 





Vemos que hay tres botones. Si hacemos clic en “Check it" nos sale el “bad boy": 


A Sorry key again 





Si intentamso cargar el programa en Olly veremos rapidamente que esto no nos lleva a 
ningun sitio. De la misma forma que los programas escritos en Delphi se pueden cargar en 
DeDe para obtener informacion, los programas .NET tambien cuentan con programas para 
ayudar a parchearlos. 


Cargemos el CrackMe en ExeinfoPE para averiguar de que tipo de programa estamos hablando: 


| Exeinfo PE - ver.0.0.3.8 by A.S. L- 860+4 sig SE 04.23 a IX) 


File: JCrackME.exe - = 3 GI el. LJ 
——————À 
0002025 HIE | «| EP Section’: | text: | m: d d 
i ae KT a a, Tor" 


0001E6SE First Bytes : -F.25.00,20.40 m. 


a 
a, 


e E i dde Sea d — = 
¿00 | ‘Windows au || TY d 
OOO26E00h f=] fu] Overlay : Ino No 00000000 | 


"NE 


RES/OVL: 20/0% 2012 
(Microsoft Visual Cé } Basic. MET (iz Visual B Basic 2005 ] -EP To oen " ' 
gE Toten 





http://masteracsi.ual.es/ 


Vemos que la aplicación está escrita en Visual C£ / Basic.NET. Cuando veamos un 
programa escrito en "NEI debemos intentar cargarlo siempre en ““Redgate’s Reflector”. 


Si ejecutamos Reflector veremos la siguiente pantalla inicial: 


MET Reflector B.5.0.179 aci 


Fie. Edit View Tools Help 


GOO Ra MB? w 
Search Object Browser (Ckrl-F) = 
Search Object Browser Chi ! Ga wat Vet » = 

H CO mecorlib(4.0,0,0) 

System (4.0,0,0) If Assembly mscorlib, version 4.0.0.0 
42) System Core (4.0.0.0) 


















































[assemblv: AssemblyKevyFile(í"F dd Toolsidewdiw|ec 


| 3 System. ¿ml (4.0.0.0) [assembly: InternalsVisibleTo("Systemn.Mumerics, Publ 
H «C3 System. Data (4.0.0.0) [assemblv: biesbuggable(DebuggableAttribuke, Debug 


43 System, Web (4.0; 0.0) [assembly: &ssemblyDelaySign(ibrue)] 
E «IJ System, Drawing (4.0.0.0) [assembly: InternalsVisibleTot System, Publicke'y=0101 


[assemblv: Internals yVisibleTot"System, Core, Publicke 
i Ir ES (4.0.0.0) [assemblv: llowPartially TrustedCallers | 
| +3 System, ServiceModel (4.0.0.0) [assembly: MeüutralResourcesLanguager"en-LIS'] 
| «C3. System. Workflow, ComponentModel (4.0.0.0) [assembly: Runtime Compatibility(WraphonExceptiony 
E 3 System Workflow. Runtime (4.0.0.0) Ge Ge EC 
NES He assembly: ComCompatibleversion(1, 0, Oxce4, 
H «C3 System. Workflow Activities (4.0.0.0) lessemblis Topebibversiant(2. 43] 
[assembly: DeFaulktbependency{LoadHint, Always] — 
e [assembly: StringFreezing] 
// Assembly mscorlib, Version 4.0.0.0 [assembly: ComVisible(False)] 
Location: C:\ WINDOWS! Microsoft netiFrameworkly4.0,30319 Lasse EE 
imscorlib. dl [assembly: CompilationRelaxationst8)] 
l [assembly: SecurityRules(SecurityRuleSet, Level2, Ski 
Name: mscorlib, Version=4.0,0.0, Culture=neutral, [assemblv: AssemblyTitle'"mscorlib. dir 
PublicceyToken=b7735C56 19348089 —  [assembly: AssemblyDescription( "mscorlib. dll Y] 


Type: Librarv 4 f | 





Cargamos nuestro CrackMe haciendo clic en “File” -> “Open Assembly...” 
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LÀ 


.MET Reflector B.5.0.179 


ES Edit views Tools Help 


























ic Open Assembly... Ctro 
T Open Global Assembly Cache... 
7 Open Assembly List. . . Chr 
d ImportiExpork Assembly List d 
E 
d le] Export Assembly Source Code...  Ctrl+5 


d 2X, Close Assembly 





r E Y 

Le L mii ru d 
LI —| Lass d 
=i -- 


[m zl Lies I 
1 " ch at)! 
m kal zl 


L ECO 


Exit 

oS SS ETT ELIT RIAA SEPT tf 
+ «L3. System, Workflow, Runtime (4.0.0.0) 
E «L3. System. Workflow, Activities (4.0.0.0) 


| 


// Assembly mscorlib, Version 4.0.0.0 


Location: C WINDCOWSMicrosefE net Framewaorklvá4 0.30319 
mscorlib, dl 


Name: mscorlib, versionz4.0,.0.0, Culture=neutral, 
PublicieyToken=b"Ya5c561934e089 
Type: Library 


Seleccionamos nuestro CrackMe: 


MET Reflector B.5.0.179 


File Edit View Tools Help 


OO Pbi mE. 


[search Object Browser tCErI-F) 











<CpopimplementationDetails > 
zirEImplementatianDetails > 

CrackMe 

CrackMe, My 

CrackME My, Resources 

Microsoft. CSharp 

Microsoft. Runtime, Hosting 

Microsoft. Sqlberver Server 

Microsoft. visualbasic 

Microsoft. Visualbasic. Applicationservices 
Microsoft. Visualbasic, Compilerservices 
Microsoft. visualbasic, Devices 
Microsoft. VisualBasic, Filet 

Microsoft visualBasic Logging 


| 


1 


F 





namespace CrackME 


Y desplegamos la pestaña: 


EER 





43 mscorlib, Version=: H 


| 


II Assembly mscorlib, Version 4.0.0.0 


[assembly: 
[assembly: 
[assemblv: 
[assembly: 
[assembly: 
[assembly 
[assembly 
[assembly: 
[assembly: 
[assembly: 
[assembly: 
[assemblv: 
[assemblv: 
[assembly: 
[assembly 
[assembly 
[assembly: 
[assembly: 


AssemblvEevFilenge"rddiTaalsidevdivYec 
InternalsvisibleTo( System, MNumerics, Publ 
Debuggable(DebuggableAttribuke.Debugc 
AssemblyDelaySign( true) ] 

Internals visibleTot "System, Publickey=001 
Internals visibleTot"System.Core, Publicke | = 
SllowPartially TrustedCallers | 
NeutralhesourcesLanguaget"en-Us"y] 
Runtime Compatibilityt WraphonExceptionT 
Guidi BED 7F4EA-1A936-11dz-8Fü8-DOAUOC 
Comcompatibleversian(1, 0, üxce4, 07] 
TypeLibversion(2, 41] 
DeFaultDependencviLeadHint Always] 
StringFreezing] 

ComVisibletFalsey] 

CLSCompliant(Erue] 
CompilationRelaxations(3)] 
SecurityRules(SecurityRuleSet, Level2, Ski 
[assembly: Assembly Titlet" mscorlib, dll] 

[assembly: AssemblyDescriptioni "mscorlib. dll")] 


€ T | 


«|l. NET4.5 | 


4l 


() CrackME 


namespace CrackME 


[DesignerGenerated] 
public class Formi : Form 


[Designersenerated] 
public class Form : Form 


[DesignerGenerated] 
public class Form3 : Form 


Expand Types 
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O -a CrackMe (1.0.0.0) 
= M^ CrackME.exe 


+ |) Resources 





A continuación desplegamos la pestaña CrackMe.exe: 


=) «3 CrackME (1.0.0.0) 
CrackMt exe 
«aj References 
{} - 
is CrackME 
i CrackME.My 
{} CrackME.My Resources 
El Lg Resources 





Y en esta sección encontraremos toda la información que necesitamos. Seleccionamos CrackMe 
(sin extensiones) y volvemos a desplegarlo: 


=) «3 CrackME (1.0.0.0) 
B lf CrackME.exe 
+) 3] References 
+ ü- 
mu 


[+] Formi 


ES BE Form 
ES DÉI Form? 
* 4} CrackME.My 
E 13 CrackME.My.Resources 
+) Lg Resources 





Podemos ver todos los formularios que utiliza el programa. En Visual Basic las 
ventanas se llaman Form, como en Delphi. Sabemos que la aplicación tiene tres botones. 
Busquemos pues el botón “Check it", que es el que comprueba si el serial es correcto o no. 


Desplegamos Forml, y vemos que tiene tres botones y un cuadro de texto: 
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.HET Reflector B.5.0.179 


File Edit Help 


960 Gia mE. sl wë ag sl A 


Search Object Browser (CHE) 


Sees 


View Tools 


f=) LE CrackME 
SE 
E vi Base Types 
H (9 Derived Types 
Ze ,Cckor() 
a kort) 
Ze _ ENCAddToList(Objeck) : void 
aw Buttont ClickiObject, EventArgs? : void 
aw Button? Click Object, EventArgs) : void 
aw Buttona ClickiObject, EventArgs) : void 
A Dispase(Baolean) : Void 
E Form! Load(Objeck, EvenbArgs) : Void 
a" Initializeccomponent(? : Void 
J GL Buttoni ; Button 
3 CS Buttonz : Button 
a SC Button : Button 
EN &roupBox1 ; troupBox 
ea Labeli : Label 





Si desplegamos Form2 y Form3 veremos que solo hay un botón por lo que Forml 
parece mostrarnos el camino a seguir. Si seleccionamos el evento Button) Click, veremos en la 
parte derecha tanto el “bad boy" como el “good boy". 


.HET Reflector B,5.0.179 





Tools 


File. Edit 


View Help 


o Opi m wa. 


[Search Object Browser (CHE) 


yd | Visual Basic v | None v 4 


Private Sub Button) LlickiBval sender As Object, ByVal e As Es 
Dim flag Ae Boolean 
IF ((Operators, Compare string e. TexkBax1.Texk, “https fen EF 
goto Label 002E 


A e F..toni Click(Object, EventArgs) ZER 
"ré BringTaFrankr) : void 4 System, Mindo! ^ 
2) Button Click(Object, Eventargs) ; Wie 
a Buttonz cClick(Objeck, Eventargs) : Vc 
ze Buttona click Object, EvenkArgs) : vc 





E CallShownEwventó: Vaid 4 System. Wir 
48 CancastToaxmlTvpetrstring, String) : Ei 
E CanCastTosmlTypeHelper{RuntimeT vt 
E, CanProcessMnemonicóh; Boolean 4 Sy 
al CanProcessMnemonict) : Boolean 4 Sy 


a CanProcessMnemonici) : Boolean 4 Sy M. 


wc > 


Private Sub Button1_ClickíBy*al sender A 


Declaring Type: CrackME. Formi 
Assembly: CrackME, Version=1,0.0.0 


¢ | | >| 





End IF 
Interaction. MsgBo 
goto Label 0030 


d congratulations you did it! I^, &H40, Nothing 





Label O007€: 

Label 0030: " ' 
Return 

End Sub 


Echemos un vistazo a la primera parte del código: 
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Private Sub Button1_Click(ByVal sender As Object, ByVal e As EventArgs) Dim flag 
As Boolean If ((Operators.CompareString(Me.TextBox1.Text, "xxxxxxxxx", 0) Is 0) Is 
Nothing) Then goto Label 002E 


El código compara el serial introducido en el CrackMe con el contenido de TextBox], 


que en nuestro caso es "Xxxxxxxxx". Si ambos contenidos coinciden entonces veremos el “good 
boy" en caso contrario, o si no se introduce nada, entonces veremos al “bad boy". 


_ Wusial basic Crackme by XORO6 


Please enter the correct code: 


CrackME 


4) Congratulations you did it!! 
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8.7 Multi-parche 


En este ejercicio vamos a crackear una aplicación que en lugar de comprobar el serial, 
lo que hace es una comprobación del servidor; hay un periodo de prueba de 30 días con su 
correspondiente nag. 


Descargamos Honestech Video Editor 8.0 Trial de internet, y hacemos doble clic sobre 
el ejecutable: 


At Video Editor 8.0 (2 69 






The Easy Mode provides an intuitiye video The Advanced Mode provides more powerful 
editing solution that is easy to learn for editing options including the timeline feature 
beginners, Users will be able to easily edit and 245 visual effects to help you create 
video files, professional quality viden, 


honestech 


Podemos escoger entre dos versiones. Nosotros vamos a seleccionar el “Advanced 
Mode”: 


honestech Video Editor 8.0 


Esta version promocional tiene un limite de 30 dias. 


3ll dias que quedan en su periodo de prueba. 


http: www. honestech.cam 


Vamos adelantar la fecha de nuestro equipo 30 días y reiniciamos la aplicación: 
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honestech Video Editor 8.0 








Comprar 


Periodo de pruebe (30 dias] ha expirado. 


http: www. honestecÍ Com 


primero que vamos a parchear es el periodo de prueba de 30 dias: 


seleccionamos “Advanced Mode" 


luego desaparece y Olly muestra el siguiente resultado: 





- [CPU - main thread, module ntdll] 






SESCH n 






File View Debug Plugins 


Jada > 












Options Window Help Tools 






















BreakPoint- 7 


+| z|r|M|r]|w|u]c|z]k|B]R]-|s| ls)? 





Ahora el periodo de prueba ha expirado y la opción de “Probar” ha desaparecido. Lo 


Cargamos la aplicación en Olly, pulsamos F9 y cuando sale la pantalla inicial 
Vemos aparecer la pantalla anterior por unos segundos, 
















Ca H X 
BDn4z4 6000000 LEA Xp oe um A 
206424 mna EH ESP, 
B HOP 
HOP 
HOP 
HOP 
LoBEERA HOP 
TE9bEBAS n 205424 ma LEA ED, = 
TESBEBAS CO FE eE 
TCOBEBRE C3 
TCIBEBAC n 55 USH EBF 
TCSGEBAD SBEC HOU EEP, ESP 
7C3BEBAF a HF 
PESBEBEB S1EC Dameana 
rCBEBBEG e965 DCFDFFFF 
FESBEBRC 8980 OSFOFFFF MF C42. #2756 
FESBEBEZ 2645 BS 
TC3BEBCS SB40 n4 kernel22.rTCcSl1CHBe 
PCIBEBCGE 2948 nc DWORD PTR OS: CEAR+C1,EC% HECAZ, #2756 
rCSBEBCB S065 2CFOFFFF EH, 
rCSBEBD S965 Bennanas WORD PTR OS: CEAK+BS], ECA MFC42. #2756 
PESBEBD P 6995 Happ | MOL DWORD PTR DS: CEA#+A4], EBs 
rECSBEBDD 2998 ASABBBBA | MOL DWORD PTR OS: EEHRSTERHS I, EDS 
TESBEBES 59668 Hp | MOL DWORD PIR DS:EEBHRSTHHT,ESI ntdll.¿uTerminateProcess 
TESBEBES 2962% cba | MOL. DWORD FTR OS: CEA&+9C], EDI 
TC3BEBEF S040 mc LEA ECH, 
rCUBEBF 3 S963 Cp | MOL DWORD PTR OS: CER++E41, Eb MFC42. #2756 
TCSBEBFS SB40 ma MOL ECHR, 
rCSRHEBFB 5955 B4mhmanmaB | MOL DWORD PTR DS: CEAK+B4],ECH HECAZ, #2756 
TCISBECAI 2640 FC POL ECR, 
TCIBECRS S963 CARRERE | MOL DOUD PTR DS:LEHsTCHI,ECAE MFC42. #2756 
TESBECHA aras DC opp | MOL WORD PTR DS:EEBSTBCT, CS 
rESBECIB SC9S 986068666 | MOW WORD PTR DS: [ER=+298], 05 
TÜCSBECIG CS0 9466686668 | MOL WORD PTR DS:LEBRsTS41,ES 
FCSBECIC SCAB 96666666 | MOL WORD PTR OS: LEHRsTSHI,FS 
REESEN SCAG SCABBRBBa | NOW WORD PTR OS: LEHSTSCIT, 65 
LE 28 SC98 CLD | MOL WORD PTR DS:LEHRSTCSI, 55 
COHELZE Crea EreaBB168 | nog DWORD PTR OS: CEA#I ¿16087 
TCIBECS4 6A al H1 
rESBELSG 5B 
FESBEES? FFrS ma 
TC3BHEC3A ES 13F6FFFF 
FRBECSF SSEC 2H 
CODE a 2 290424 rol 
TL9BEC45 Cr4d2d m4 oromi 
TLABEC4D Cr4424 16 mane MOL! 
TESBECES 2645 ns | how EAH - 
PTAREMEA adddod AR | HAL = 
gi > 
e . . ^5 e . . ^5 . 
Analizemos esta situación: Cerramos Olly y vemos que la aplicación sigue 
ejecutandose!! 
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honestech Video Editor 8.0 


Periodo de pruebe (30 dias] ha expirado. 


http: / www. honestech.cam 


Esto nos indica que lo que hemos cargado en Olly no es la aplicación en sí. De hecho 
cuando hemos seleccionado la opción “Advanced” lo que hizimos fue ejecutar un cargador que 
al cabo de unos segundos finalizó. 





Echemos un vistazo al directorio del programa: 


™ honestech Video Editor 8.0 Trial 





File Edit View Favorites Tools Help 


© eax " Ki Ki ES Search p Folders (Fail 


Address |) C:\Program Filesihonestech video Editor 8.0 Trial 


a {SD6,40D6E-3F51-4131-4.4B6... 
o SE 
LJ Easy Mode 
| HTFilterChecker.dll 
A 1.0.0.3 
HTFilEer Checker DLL 
RegcomM 
e l HT Filters Register 
Honest Technology 













File and Folder Tasks 







VH Make a new folder 


ed Publish this Folder to the 
Web 


[El Share this folder 









image User Guide 


HTUninstall IsUninst 
320632 A Installshield(R.) uninstaller 
Icon InstallShield Software Corpora... 





Other Places 


J@ uu 










CH Program Files 
i) My Documents 
CH) Shared Documents 
e My Computer 

&J My Mebwork Places 


regcomdata 
BIN File 
5 KB 


AA VideoEditarStarter 
VideaoEditorSbarker 





Details 


Como podemos ver hay una carpeta "Advanced Mode" y otra *Easy Mode". Miremos 
lo que hay en la carpeta "Advanced Mode": 
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File Edit View Favorites Tools Help "T 


Q Back + © d A) Search E Folders Ez- 
Address |) C:\Program Files\honestech Video Editor 8.0 Trial\Advanced_Mode v Go 


go o o » S ww ww aw 


Backgrounds Buttons theme AudioImpor... AudioImport... BurnPack.dl  BurnPack L... CapturePac... CapturePa... chkmpafmt.dll 


7 a ww ww &gE BBB 


convert.dll ^ DVExPack.dl dvexpackloc... editlocale.dl ^ effectloc.dl ^GraphDebu... H DUMP.AX bh wavdest.ax ht makeStill... ht mp2Enc.dll 


E) 3 o 9 *S E S S K 


htAudioTra... htBDAuthor.dl htDataCDD...  HtDialog.dl htdmpeg2.dil  HTDump3.ax htdvdautho... htdydmenu.dll htDYExport.dll HtEditOverl.., 


a aA NN a a) 


htEditTitle.ocx HtEditTrans... ^ hteerc.dl ^ htEffect.ocx  HTFilerCh... ^ htImage.dl HTMpegYide... htmpgmux.dl HtSkinCom.dll ^ htUDF.dll 


a = y * 


htVideoCD.dl htVideoDVD.dl JpegTrans.dll mempgmux.dll memuxmpe...  msvcpzi.dl ^ msvcrzi.dl ^ OutputPage... OutputPage... overlayloc.dll 













File and Folder Tasks 





c2 Make a new folder 
a Publish this Folder to the 
Web 








Kal Share this Folder 


Other Places 


e. 
Le, 





c honestech Video Editar 8.0 
Trial 


iL) My Documents 
CH Shared Documents 
4 My Computer 

€ My Network Places 





i 







SÉ 


Le, 
Le. 
e, 
e, 
e, 











Details 


Ls, 
Ls, 
ls, 
ls, 
Le, 
Le, 





> A= | 
a * E a 9 a a ww BA 
ProductReg.dll ProductRegi... ProductRegi... ProductReg... ProductUp... SkinDil. dll titleloc. dll tranloc.dl ^ TrialProduct... TrialProduct.., 


my 
Noni 


VideoEditor | wvResizer.dll 





Vemos el ejecutable del "Advanced Mode", lo que viene confirmar nuestras sospechas. 
Cargemos este ejecutable en Olly: 








¿DilyDbg - [CPU] 


Debug 


























Elle ` lew Plugins Options Window Help Tools BreakPoint-> 
[| 


| 
| 


Open 32-bit executable KE Th 


Look in: 3 Advanced Mode z1 e EI e 


Cj Backgrounds 
(5) Buttons 
¡theme 


VideoEditor 







File name: [VideoE ditar 


Files af type: | Executable file (* exe] d | Cancel | 
Arguments: | + | 








ES li ui > | 


Pulsamos F9: 
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honestech Video Editor 8.0 


Periodo de pruebe (30 dias] ha expirado. 


http: / www. honestech.cam 


Comprar 





Y Olly sigue ejecutandose: 






- [CPU - main thread, module VideoEdi] 
File View Debug Plugins 


al 44| x 
















EreakPoint-> 





Window Help Tools 
sp rg A] 5 


Options 
a € 



























































BFlz Ups 55 PUSH EBP F 

BC . SBEC HOL EEF, ESP CH 
Eric . 6A FF PUSH -1 

EF17 . 68 18nssnaa | PUSH 

ES EF IC . 68 FCC15700 | PUSH SE handler installation 

ET each . 64:01 888600) MÜL EAX, DWORD PTR FS:L8J 

aierErF2T . EB PUSH EAS 

dbsrEFZS . 4:8925 8908 HOW DWORD PTR FS:[61, ESP 

AGS EFSF . B3EC Gë SUB ESP, 62 

EELER GE PUSH EBS 

BOSTEF33 "ES PUSH ESI 

BOSTEF=4 ET PUSH EDI 

ABE SEF SE S9DB S MS a 

AAST 1 3 d 

BBSTEFSA 8350 FC HOU ELOCAL¿11, EBX 

BBSTEFSD 6A az PUSH 2 

See Sak 2CACS Sa PALE DWORD PTR OS: (¢&MSUCRT. set app typet] HMSUCRT. set app tupe 

Ano; d e 

BOS7EF4E . 8560 A4SE606| OR DWORD FTR DS: L683BER41,FFFFFFFF 

Bae" BF4D . 8360 ASSE666| OR DWORD PTR DS: Lé83bBRB81,FFFFFFFF 

Bae BFEA . FFi5 38Rnc598| CALL DWORD PTR OS: EZAHSUCRT, p Ffmode>] MSUCRT.. p  fmade 

ABS7BFSA . SBB8D 2403506 MOU EC, DWORD PTR OS: [5DC3247 

Bas 7 BFeB . 8988 MOL DWORD PTR DS: LERXl,ECX 

AAGFEFEZ . FFi15 s4nc598| CALE DWORD PTR OS: C<&MSUCRT. p commode>] | MSUCRT. p. commode 

AAGFEFES . SBD 28C35DB8|MOU ECH, DWORD PTR OS: L5DC3281 

Bae 7BFSE . 8988 MOU DWORD PTR DS: LERXl,ECX 

Bas BF ra . Al 83cHcES8B | MOU EAS, DWORD PTR DS:Lz&MSUCRT. adjust Ediu 

Go et PS . BEBB MOU EA. DWORD PTR DS: CEA] 

Go BF rr . AS ResBeBBB |HMOJ DWORD PTR OS: Lr683BRB1,ERX 

oo BF PC . ES R8828888 

GE 3 3210. A6875D8 CHE DWORD PTR DS: Lr5D87h81,EBEX 

HILI! TE Fi m a 

BOSTEFES . 68 26025700 | PUSH 

ced Es : Eos ESAASSA M DWORD PTR OS: C<EASUCRT. setusermathery HSUCHRT, setusermatherr 

HILI! m =. S 

ABSTEFS5 > ES rnezeanaa | CALLE 

ABSTEFSA . 68 DBEBECGA | PUSH 

Bae 7BFSF . 68 CCémECBB | PUSH 

aes FEFA . ES 65828600 

Bas EFAS . Al 1CC35D66 | HOW EAS, DWORD PTR DS: L5DCS1C1 

ABSTEFAE . 8945 94 HOU ELOCAL 271, ERY 

aaecerea ||: Ge" PUSH ERA 

Litt, m s = 

Bae "BFES . FF85 1803506| PUSH DWORD PTR DS: r5DC3181 = 

GecErEE ||: sa. PUSH ERA 

Litt: m S 

aaS7EFEE . 8045 38 LER ERX,EEOCHET Z2 

BOSTEFCZ . Ef PUSH ERX 3 

DG, REF: " Sando AR | Fa ED roe D, 

€ TIT > 


Procedemos a parchear el periodo de prueba. Detenemos Olly y seleccionamos 
"Execute till user code". 
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- [CPU - main thread, module ntdll] 


[c] File View BEN Plugins Options Window Help Tools BreakPoint-> 







































fs Run Fa 
^ 
ZE = 
ate Restart CHE? 
eg Close alt+F2 
TC k ` . 
BEE Step over F8 | 
DES Animate into Chrl+F? 
FCOBEBAC 
FCSBEBAD Animate over Chrl+Fe 
FCIBEBAF : 
EE Execute till return Cri--Fa E 
TCE & : j 
^COBEEEE Execute till user code | Alt--Fa ECH 
TL'BEBLZ ny: > WidecEdi. #H505AE4 
FCIBEBCS HFCE42, 13001233 
FCIBEBCE Open or clear run trace 1:51, ECH 
7CSBEEC 
ieee ena Trace into Ctrl+Fii Bt BE. ECK 
SEER Trace over Ctri-F12 P. En A O 
FCIBEBES PE ls +A, ESI LDideoEdi.HA5SOSAE4 
7CIBEBES Set condition Ctr+T +90], EDI WideoEdi. BA5DSAE4 
SEE ES #+04],ECH 
TCI 2 last 
operen d b veel SCH LDideoEdi.HA5SOSAE4 
FIR i qu 
FCIBECH1 Hardware reakpoints WideoEdi. HASOSABA 
FCIBECH4 Inspect ls CH, EC 
FCIBECHA R+BC1,C5 
FCIBECIA ET9381,L[5 
FCIBECIE Sté, ES 
FCSBECIC Arguments +901, F5 
FCOBECS2 : : ] LÉI, DS 
FCOGECZS Select import libraries +08] 33 
Yea a | , Lopez 
EE Select path for symbols Br 
TL'BELSÓ 2u -usn 
TLSELS? FFrE D FUSH WidecEdi. ġ00S0SAE4 
FCIBECSA ES 13F6FFFF CALL 
FCOABECSF SSEC 2H SUB ESF, 26 
CODE A2 add HOL 
FCOBECSS Cr4éd24 64 mida MOL! 
FCIBECSD Cr4é4d24 16 Bee) MOLI 
FCOIBECES 2645 D HOU EAR WidecEdi. S#H508AE4 T 
TLABFÜER asddrd na MAL ké 
xau > 


Hacemos clic en el unico botón activo: "Comprar" y paramos en la siguiente linea de 
código: 


- [CPU - main thread, module Videokdi] 





[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 
eddi KI SE) obl a] 


SE SA 
B50443163 
BE44316E 
BE44316F 
DAT dé 
DdA42TLde 
b644S17E 
SE SAS 
B0443183 
66443180 
BE443515E 
66443195 
864435198 
BB443519E 
DAAT 
BB4435106 
BB443510E 
BB44351B3 
86443160 
BB443101 
BB4435106 
6443109 
Bmn4431CB 
DAAT 
be443102 
664451085 
Be44310F 
Bnd431E4 
Bn4431E5 
Bn4431ET 
BE4431EE 
Bmnd431F3 
Band431F4 
Bn4431F6 
b644S1FD 
BE4431FE 
Bmnd43283 
Bmd43283 
be443260 
be4435214 
b6445215 
be4432148 
Fidd2- 1B 


[RITU 


63 BrEaGmaas | PUSH BEBE? 
58 PUSH 


cosdod E4888 


ES A2a11360 
BB4C24 1C 
205424 24 


51 
63 5Ora5Cob 


52 

ES r2z821388 
B3C4 18 
S04C24 18 
BF aisamaad 


Ces424 Daaes 


EH 
MOL! 


MOLI EC, 
LEA EDs, 
PUSH ECX 
PUSH 

PUSH EDs 


ADD ESF, is 
LEA ECX,DWORD PTR SS:EESP*183 


rÊ 


ASCII "*r*nzs" 
ntdll.EiFastSustemCalLlRet 


ES SBrvF1388 
PUSH EE% 


53 

DOC 24 04614) LEA Els 
ES B&85FLFF | CALL 
504424 18 LEA EAH, 
ae 38826) LEA ECH, 


PUSH Es 
C68424 DCA6H 
ES 56811344 
S08C24 Daagid 
DODL 24 344240 
ES E4811388 
SSFS3 Bl CHP EAX, 1 
r4 ar 
53 PUSH EES 
FF15 Copa CALE DWORD PTR OS: C<2HSUCRT. eu it? 
E20 D4nBb38|no4 EDI, DWORD PTR OS: [<£MSUERT, sprintt 2] 
eDac24 Aqa LEA ECA 


ntdll.?7c918738 


FS = rFFD2mmm (2147525964, ] 
exit 
HSUCRT. sprintf 
66 34r285C6ó6 | PUSH Ta = "honestech Video Editor 2.8 " 


si PUSH ECX 
FFD? CALL EDI 


s = BalsFFBB 
sprintf 


209424 ncasa LEA Q7 weng 
&s B47 E5Ce8 | PUSH ASCII "httpz-^-"www.honestech.com-regFK^reaTrialFEk.asp" 


52 PUSH EDY ntdll.KiFast&ustemCallRet 
FFO? CALL EDI ntdll.rC918r28 

203424 B48BBB LEA EAX, DWORD PTR SS:LESP-E41 

a PUSH EAN 

ES AS70128 | CALL 

68 FCrr5CcBB | PUSH 

ES 95701306 | CALL 
208024 BCB5B|LEH Elx, 


Sl PUSH EC 
ES 82701508 

B3 PUSH EEx 
AA RAFAGCAA | PUSH 


EE EE "UESBRE” 





Ww 


"Znbtuseewvhnanestechxxhnnestech Widen FditarssA - 


E. 


El CALL en la dirección 4431C1 es el que llama a nuestro nag. El CALL en la 


dirección 4431 AE llama a MFC42. Descartamos este CALL porque nos interesa permanecer en 


http://masteracsi.ual.es/ 


la rutina actual. Luego tenemos un CALL en la dirección 443195 hacia 40C720, pero si 
entramos aquí veremos que no hay ningún salto condicional y ningún CALL que profundize 
más en el código. Por esta razón paramos en la dirección 44313C donde nos encontramos con 
una instrucción JNZ. Ponemos un punto de ruptura y reiniciamos Olly: 


- [CPU - main thread, module VideoEdi] 





[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 


be445152 
Be445133 
be445135 
b644=13A 


B6445135E 
6443142 
b6443147 
b6443143 
b6445140 
be445152 
468443153 
Bg443125B 
be4451668 
be445164 
BE445165 
be445169 
b644516E 
B6443516F 
DAAT dä 
be44s1r7 
b644=17E 
be445136 
Bgd43188 
468443150 
BE44513E 
Be445195 
Be445134A 
be44515E 
be445105 
464431A6 
464431 AE 
Bg4431B3 
BB4431BH 
BB4431C1 
Ba4431Cc6 
be4451C9 
Be4451CB 
Be44351CC 
66443102 
668443103 
b644=10F 
b64451E4 
BE4451E5 
Be4451E7 
BE4451EE 
Be44S1F5 
Addig 


[100] 































Gi] dd] X| el] at E adi a 
. SECE MOLU ECK, ESI 

52 PUSH ED 

33FF “OR EDI,EDI 

ES 76310300 

esca TEST EAH, EA! 

75 4F Aleka 

204024 16 LEA ECM 

ES EDvF1288 | CALL 

ep 1E PUSH 1E 

2304424 14 LEA EAX,OWORD PTR SS: [ESP+14] 

PUSH BEBE? 


GG BrEseaee 
5H 


C68424 E4aG6B8 

ES H281138H8 

SB4C24 1C 

SDb424 24 LEA EDs, 
PUSH ECK 


51 
EE SArsscoB | PUSH 


PUSH ED 
ES 72821300 
2304 18 HDD ESP, 12 
2D4c24 18 LEA ECs, DWORD PTR SS: [ESP+16] 
EF 616686666 | HOW EDI, i 
Ces424 O866e) Hou .6 
ES SE7F1300 

PUSH EE 


SE 
LEA ECH 
CALL 
LEA ERX, 
LEA ECH, 


2D3C24 D4616 
PUSH EAs 


PUSH EAs 
MOL! ro 


MOLI ECH, 






























ES S695FCFF 
SD4424 15 
po 30020 


Cósd24 OCB66 
Es 56511306 
SUSCe4 D818 
S3BCe4 34626 
ES E4S11288 
S3FS 41 

r4 Br 


53 
FF15 CODE 
SB2D D4AES96 
B0SCe4 nm4acasn 
68 s478550808 
51 PUSH ECK 


FFD? CALL EDI 
209424 Hp LEA EDS 


CHP EAs, 1 


PUSH EBX 
CALL DWORD PTR DS:rz&HMSUCRT.ezsit?1] 
MOL EDI, OWORD PTR DS: L£&HMSUCcRT.sprintf?1 


PUSH 






68 B47S5C88 | PUSH 
52 PUSH EDS 
FFM? rar FNT 


[ 


| 


|> 


ntdll.KiFasztS5ustemCallREet 
ntdll.7C918738 


ASCII "cunda" 
ntdll.KiFastSustemballRet 


ntdll.rc9isr?38 


status = rFFD9BBABB [2147223984.] 
enit 
HSUCRT. sprintf 


format = "honestech ideo Editor 8.8 " 
= = mBalzFFEH 
sprintf 


ASCII "http:.^^wuwuw.honestech.comzreaPKz^regTrialPk.asp" 
ntdll.KiFastSustemballRet 
ntüdll.7/5:91m7248 


KL 


> 


Olly se detiene en el punto de ruptura, y como podemos ver no va tomar el salto: 


http://masteracsi.ual.es/ 


- [CPU - main thread, module VideoE di] 





[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 


BE4435135E 
be4435142 
be4435147 
be443149 
be443140 
be445152 
be443155 
BB44315B 
Bmn443168 
be443164 
DAT 
Bmn443163 
BE443516E 
DATE 
be4435174 
Bagair 
Be44317E 
be443158 
Be443155 
be443180 
BE44313E 
Be443195 
be4431948 
DATE 
Be445105 
DAT 
BiB4431BE 
DAD 
BiB4431BH 
be443101 
be443106 
be443109 
BB4431CB 
DALL 
be443102 
664451085 
be44310F 
Be4451E4 
BE44351E5 
BE44351E7 
BE44351EE 
BE44351F3 
Ba4431F4 
BB4431F6 
Ba4431FD 
BE4431FE 
be445283 
And 4 AA 


* mi 


| 44| X 


wero dE 


S04C24 i8 


ES EDrF13BB 
6A 1E 


204424 14 


Ee BrEGeeee 
Cósdod Fan 


KI €" il 


+ 


LEA EC 


PUSH_1E 
LEA EAX, DWORD PTR SS: TESP+14] 
PUSH BEBE? 

PLISH EAX 


ES B28113688 


SB4C24 1C 
E 2d 


68 RGD | PUSH 
52 


MOL EC. 
LEA EDs, 
PUSH EC 
ASCII '""r*nzs" 


PUSH EDS ntdll.KiFastSustemECallRet 


ES 72621388 


304 18 
S04C24 16 


HDD ESP, LG 


BF aisamgaan 
Ces424 Den 


ES SBrvF1388 
53 


PUSH EBs 


B0SCe4 D416) LEA ECs 
ES S695FLFF 


204424 18 


LEA EAs, 


BOSCe4 3026| LEA Els, 


Ep 
Cósde4 DCmes 


PUSH EAR 


ES 568113868 
s08Ce4 0818 
S9BCe4 34024 
ES E4811508 


BSF 41 
r4 ar 


53 
FF15 COABS96| CALL DWORD PTR DS: (é&MSUCRT. exit? 
SBS0 O4ABS 36) MOL EDI, OWORO PTR DS: Ce&NSUCRT. sprintf 2] 


CHF EAX, 1 


PUSH EBX [: 0 zu 
exit 
HASUERT.=<printf 


BOSCe4 Happ LEA ECA 


Gë 347°S5C08 
51 


FFOF 


CALL EDI 
ES H4°35C88 | PUSH 


PUSH format = "honestech Wideo Editor 8.8 " 
PUSH EC P = manm 
sprintt 


ASCII "http:--^"wuwu.honestech.comz^reaPK-^reaTrialPFk.azsp" 


PUSH EDK ntdll.KiFaztSuztemCallRet 


FFD? CALL EDI 
203424 B4666 LEA EAX, DWORD PTR SS: [ESP+B4] 
Eë PUSH ERX 
ES ns?Disaa | CALL 
68 FCPPSceae | PUSH 
Fe asentar | Fay 





VAIO ASCII TUESORE"™ 


Cambiamos el valor de la bandera Z para que salte por encima del nag, y pulsamos F9: 






[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 3 x| 
EL Gp EE XH Em EE i|r[w|r|w|n]c|z]k|s|n]--|s] ¿513412 eurer T 111 


tand4313E 
90443 142 
545443147 
66443 = 
66443 
na443 
80443 
90443 















80443 
Ba443 


Ed 
004431E5 
Bn04431E7 
ag4431EE 
BO4431F3 
90445 SES 





- [CPU - main thread, module VideoEdi] 








d ncosa 
SÉ Keele 

























B aa |M 
2 465) MOU ` EFL 900000206 (NO,NB,NE,A,NS,PE,GE,G 
Fe aw STO empty -4.2107961977734744600e-3494 E 
AC LEA ECY STi empty —UNORM B654 aaaaaano B21BB64 
dm ST2 empty -UNORM DS9B aaaaaaaon aa0127C7 
1 16 rnm ST3 empty 6.528063658283585836180e-4932 
SAAD LEA ECH. ST4 empty -1.90906693298151 49900e+1589| 
[P EAS STS empty +UNORM 7C78 aaaaaaaa 9000861, 
3| MOU ST6 empty D. DDDDDDDDDDIDDDDDG DD 
B81 


2| CALL D 
De LEA Ec EDT. DWORD PTR DS: C<&MSUCRT. sprintf >] 


ae? 
BC = «ho mestec h Video Editor 8.0 " 


Happ) L 
Seite 





LEA ECX, DN aS: | 


PUSH 
EDI 
USH 





A [Registers (FPU) 
DERRERS ntdll.KiFastSystemCallRet] 






66600086 
6644313C 


Ca ES 0023 32bit B(FFFFFFFF) 
P1 CS BB1B 32bit G(FFFFFFFF) 
ASCII NINA AG SS ames 32bit ØLFFFFFFFF) 
ntdll.K PUE: wstemCallR 2.8 DS 6623 32bit B(FFFFFFFF) 
iFastSystenCa > p FS 003B 32bit ?FFDFaaatcFFF) 
Da 
0a 


VideoEdi.6644313C 





GS 6006 NULL 
LastErr ERROR SUCCESS (000090098) 


ST? empty O. ru s gr i = : 
"uno 


FST 4008 Condi8 88 Erroonoo 
FCW @27F Prec NEAR,53 Mask GE 


i status - B 
ORD PTR DS:E«&MSUCRT.esit?1 exit 


MSUCRT.sprintf 


ECX 


sprintf 


‘Www. honestech.com/regPK/regTtrialPk. asp” 


tSystemCal [Ret 


ASCII "http: 
ntdll.KiFas 











ASCII "UESARE” v 


Como podemos comprobar ahora sí es posible hacer clic sobre el botón “Probar” 


http://masteracsi.ual.es/ 


honestech Video Editor 8.0 






Esta version promocional tiene un limite de 30 dias. 







3ll dias que quedan en su periodo de prueba. 


http: www. honestech, Com 


La respuesta que obtenemos es la siguiente: 


honestech Video Editor RO 


Registra del Producto de prueba 


Si registra su producto de prueba, recibirá informacion exclusiva respecto a las 
actualizaciones del producto, parches y cupones de descuento, 


Correo Electrónico : | 


(Nota importante: la confirmación de su registro se le mandará 
al correa electrónico que suministró. } 





Como no queremos que nuestro correo electrónico quede registrado en una base de 
datos, lo primero que haremos es desconectarnos de internet. A continuación ejecutamos 
Fiddler, introducimos un correo electrónico erroneo y hacemos clic sobre “Regístrese”. 


Nota: Fiddler es un Servidor proxy para depurar código HTTP escrito por Eric 
Lawrence, ex administrador de programas en el equipo de desarrollo de Internet Explorer en 
Microsoft. IFiddler captura tráfico HTTP y HTTPS y lo registra para que el usuario pueda 
revisar (esta última mediante la implementación de intercepción man-in-the-middle utilizando 
certificados autofirmados).5 


Fiddler también se puede utilizar para modificar (en inglés "fiddle with") el tráfico 
HTTP para solucionar problemas mientras se estén enviando o recibiendo.3 Por omisión, el 
tráfico de la pila WinINET HTTP (S) de Microsoft se dirige automáticamente al proxy en 
tiempo de ejecución, pero cualquier navegador o en aplicación web (y la mayoría de los 
dispositivos móviles) pueden configurarse para enrutar el tráfico a través de Fiddler. 


https://es.wikipedia.org/wiki/Fiddler_%28software%29 


http://masteracsi.ual.es/ 





| ARÈN Video Editor 8.0 Sin tue e O (e 69 


ü 
ü 


00:00:00.00 
00:00:00.00 


00 000000 0000 


Arrastrar y soltar 
Aquí 





Vemos que el programa se ha cargado correctamente ya que no necesita de “feedback” 
por parte del servidor, solo envía nuestra información al servidor. 





¿ Fiddler - HI TP Debugging Proxy 
File Edit Rules Tools View Help $Donate GET book 
; Stre E i = Browse <È Clear Cache j^ TextWizard k Tearoff 
= Web Sessions i = | 
Pro... Body Content-Type Process 
HTTP www honestech.com j/regPK/regTrialPk. asp?pd=VES0REXemail=prueba@gmail, com&lanquage=0x080a 512 text/html; charset=UTF-8  videoeditor:948 


HTTP www.honestech.com fupgrade/upgradeagent.asp 512 text/html; charset=UTF-8 upgrade:3236 
HTTP www,honestech.com ` Jupgradejupgradegetmethod, asp?PID=zzaSa0r&LCD=0x080aaVER=008000013&T¥P=1 512 text/html; charset=UTF-8  htpa:2860 





Si miramos en Fiddler podemos ver que la primera línea corresponde al envío de 


nuestro falso correo electronico al servidor. Las dos ültimas lineas parecen ser actualizaciones 
de Fiddler. 


Vamos pues a eliminar la primer línea. Como no sabemos a priori si el programa 
necesita algün tipo de feedback por parte del servidor, necesitamos eliminar la clave de registro. 
A parte de esto tenemos que estar seguros que el programa no guarde nuestra información en 
algün sitio para enviarla una vez conectado el equipo a internet. Para borrar nuestro registro de 
correo electronico, ejecutamos regedit en nuestro equipo: 


http://masteracsi.ual.es/ 


Type the name of a program, folder, document, ar 
Internet resource, and Windows will open iE For vau. 


Open: | regedit] J 





Y navegamos hacia “HKEY_LOCAL_MACHINE\SOFTWARE\honestech\honestech 
Video Editor”, y borramos la carpeta “8.0”: 


2 Registry Editor 





Fie Edit View Favorites Help 
E a My Computer 
HEEN CLASSES ROOT 

HEEY CURRENT USER, 

HkEY LOCAL MACHINE 

—] HARDWARE 

SAM 

SECURITY 

SOFTWARE 

xL] Adobe 

= corvresy = 
Classes 

Clients 

Gemplus 

Google 

honestech 

3 honestech video Editor 


wi 8.0 

Ers 8.0 Trial E 
1 HTPA 

Macromedia 

Microsoft 

Mozilla 

mozilla, org 

MozillaPlugins 

ODBC 

Policies 

Program Groups NW 
t i NE; 






| > 











Ahora la proxima vez que hagamos clic en “Probar” aparezerá de nuevo nuestro nag. 
Reiniciamos pues Olly, pulsamos F9, cambiamos el valor de la bandera Z, hacemos clic en 
“Probar” y volevemos a la pantalla de registrar: 


http://masteracsi.ual.es/ 


honestech Video Editor RO 


- Registro del Producto de prueba- 


Si registra su producto de prueba, recibirá informacion exclusiva respecto a las 
actualizaciones del producto, parches y cupones de descuento. 


Correo Electrónico : | 


(Mota importante: la confirmación de su registro se le mandará 
al correa electrónico que suministró. } 





Utilizaremos la herramienta de “animate over” para parchear la aplicación. 





- [CPU - main thread, module VideoE di] 
[c] File View BEEN Plugins Options Window Help Tools BreakPoint-> 






E Š 






















92443143 Restart CHEZ 
HA44 5147 x 
T" FEE 
eee || Step into F? 
SIS CNS ‘ 
B ME ` Step Geer F8 
GE | Animate into CHEZ 
SS | | cubero ROI NR et e 
3185 «| n .KiFastS5ustembca E 
O . Execute till return Ctrl FS 
cul | ; 
and43177 Execute till user code ` Alt+F9 
0443126 
Gaddis | Open or clear run trace 
MS Trace into Ctrl+F11 
AA ET à Trace over Ctrl+Fil2 
HA44315E ‘ "8 
Eer Set condition Chr" 
A64431A6 
ERETTE 
EES Hardware breakpoints 
Bad4dsi1ci : kp 
ee : Inspect 
Bic à 
Baddsil1cB a status = H 
Baddsi1cc : SHGUCHRT. eut zi en it 
SOS A Arguments Ss [MSU CRT. sprintf] ASUERT. sprintf 
aa44ziDF | || Select import libraries format = "honestech Video Editor 8.8 " 
D SEE : Select path For symbols [= S 
Bä443 Er . CENE "rel Li - 
Hidd431EE . 68 Adrea5caa | PUSH ASCII "http:.-"^uwuu.honestech.com-z^regPE-^regTrialPk.asp'" 
GEN : BUS PUSH En ntdll.KiFastSustemtallRet 
H dd A z f: CALL 
SEENEN SE Dapp n —— 
Baaaa3 . EB 
BHidda431FE . Eg 85701388 | GSD 
44443243 . 68 FDrr5rhHB | PUSH Bo TT "UEBBRE" ne 
ARA42°R5 . Fe s&znisana | Pana ke 
ate up > 


Después de pulsar sobre “Animate over", Olly se detiene en el CALL de la dirección 
4431C1. Este CALL es el que nos muestra la ventana de registro y si nos fijamos en Fiddler, sin 
habernos conectado a internet. 


Si queremos cambiar la instrucción CALL por NOP veremos que la aplicación caerá ya 
que necesita obtener algün tipo de respuesta por parte del usuario en el cuadro de dialogo. Esa 
respuesta, como siempre, se almacena en EAX para ser comprobada a través de TEST 
EAX,EAX en la dirección 44322F. Si el usuario hace clic en “Registrar” EAX valdrá 1 y si el 
usuario hace clic en “Cancel” valdrá 0. Así que para deshacernos de este dialogo debemos 
nopear la instrucción CALL en la dirección 443227 y poner EAX igual a 1. Siempre que 
intentemos eliminar más de un botón en un cuadro de dialogo debemos especificar el valor de 
EAX. 


http://masteracsi.ual.es/ 


^ - [CPU - main thread, module VideoEdi] 

























































































A : n" n" D n" BR em 1 HAD 
Animating | lar 44| X A E | loa 
66443155 5B PUSH EAS ^ 
66443156 Cosdad DCcmen MOL! a 
664431H6E 
66443183 
664431858 
66443101 ES E4511=66 
66443106 Sara ni CHF EAs, 1 
66443103 
a443i CE PUSH EBX ES zø 
6644310 exit = 
66443102 HSUCRT. sprintf — 
64431085 
644431 0F format = "honestech Uideo Editor 8.0 " 
Hdd431E4d [: = mHal2rr?DCc 
Eiad431E5 CALL sprintf 
444431EF 209424 ACA5A| LEA E^ O 5$ eg 
Haddd3lEE 65 AdraB5caa | PUSH ASCII "http:-“waw.honestech, comregPe-regirialPk. asp" 
p443 F3 PUSH ELI 
He4451F4 FFO? 
444431F6 209424 B4666| LEA EN, CORD PTR 55: TESP+B41 
444431FO 5B PUSH EHX 
A4431 FE EB H5rDi2sma | CALL 
444432563 68 FCrrsctee | PUSH O ASCII "UEBBRE" 
44443255 EB 95701388 | CALL 
444432580 SO08C24 BECA5A| LEA ECH, 
44443214 5i PUSH ECH 
44443215 Es 82701388 
HAD 53 PUSH EBs 
Haddda21B 63 BSra5caa | PUSH ASCII "Softuare-«*honestech--honestech Mideao Editor--8.E 
HadaazzH EB 71701388 | CALL EET, E EE 
HDAA222E 6A Di PUSH 1 
HA445227 ES 64701388 | CALL 

Assemble at 00443227 — eat ee 

EN WideocEd:. h#e4ER144A 
[MOY EAX 1l + | hlind = HULL 
, Det SystemMenus] |b Get SystemMenu 

v Fill with HOP": p | 
mnadqs25z ES DDrEi1288 | CALL 
He44s257 6A 65 FUSH 65 
AñddS25ñ FAR? CAA mob - HA A 


ITI 


El CALL era de 8 bytes y el MOV EAX,I es de 8 bytes. 





- [CPU - main thread, module VideoEdi] 


[c] File View Debug Plugins Options 





Animating 


p64431A5 
664431A6 
664431AE 
6445183 
86443160 
BB4435101 
66443106 
Bg443109 
Bmn4431CB 
DAAT 
be443102 
66445105 
Be44310F 
Bbe4431E4 
Bn4431E5 
Bnd431ET 
BE4431EE 
b644S1FS 
b644S1F4 
BE4431F6 
b644S1FD 
BE4431FE 
DA 
Bnd432n838 
864435260 
be4435214 
BB4435215 
8644352140 
BB4435216 
Bm443228 
Bn443225 
DAAT d 


Da ea rà C3 Em eo buts 


3 da Po po po no po po Po P 


ra El 
ra ra 
A BA 
A A 
fu 
B 
T: 


BB44324C 
BBd4d3z4E 


sau 






Window Help Tools BreakPoint-> 


=| 44] X + HE ER 


EA 

Cósde4 DCcme 
ES 56511364 
DO 29 Damis 
DODL 24 34828 
ES E481138B 
ssFS DI CHF EAR, 1 

JE 


ve r4 ar 

» 53 PUSH EES 

, FFIS CGABS9A| CALL DWORD PTR OS: tcSHGUCRT, exit] 

> SB3D D4nBb5348| MOL EDI, DWORD PTR OS: L[<£MSUERT, sprintt 2] 

» 80SCe4 A4066| LEA ECK 
68 347°85Caa | PUSH 
51 PUSH ECA 
FFOr 


CALL EDI 
PUSH 


68 B4725C00 

52 PUSH EDX 

CALL EDI 

LEA EAs, DWORD PTR SS:LESP*B41 
PUSH EAR 

PUSH 
LEA ECH, 


MH kb 
PLUSH EAR 
Ol 


ai 












|> 


= oH 


status 
exit 
HSUCRT. sprintf 


BEE: = "honestech Video Editor 2.8 P 


[AT 





s = Balsrruc 
sprintf 














ASCII "http:-“www.honestech, com-regPE-regirialPk. asp" 
FFOr 

SCH B40 
Es HB5rTD13BEB 
68 FCrrscaa 


EG 95701568 
DOC 24 DDR 
51 PUSH ECH 


Es 27015306 | CALL <JMP.&7rialProductReg.ht_Trial_SetURL?> 
53 PUSH EER 


68 BBarasbcam | PUSH Be 
CALL 


Es 717013868 













A SI RER 


ASCII "Software™“honestech-honestech Video Editors. E 


GH äl PUSH 1 

MOL EA, 1 
ADD ESP, 22 
TEST AL, AL 
PUSH EES 


Es Balmamaad 
2314 25 
S405 


» 53 

e DEG Chanaaa|.E 
. SB56 2B HOM ED, OWORO PTR DS:LESIT28] 

SE? PUSH EDS 

SO ESAcs 9a) CALL OWORD PTR DS:r«&UsSERS2.GetSustenmhenu?1 


PUSH Es 
ES DESe61388 
SBFS MOL! EDT, EAs 
, SBFB CHP EDIT, Es 
ve Cé BT 


JE 
Satz 14 [LEA ECH 






Revert = FALSE 


WideoEdi. #84EH144 
hund = NULL 
Get Systemtenu 








|* 


Reiniciamos Olly, aplicamos el parche y cambiamos la bandera en el punto de ruptura. 


Vemos que la aplicación se ejecuta normalmente y en Fiddler desapareció la primera línea. 
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7 Fiddler - HTTP Debugging Proxy m P 
File Edit Rules Tools View Help $Donate GET book 





g +3 Replay x > b Resume | ; Stream E Decode | Keep: All sessions y $ Any Process 23 Find ei Save L5 @ Browse së Clear Cache Lg TextWizard "H: Tearoff | 
Web Sessions cx 
# Result ` Pro... Host URL Body ` Content-Type Process 
o 1 502 HTTP www.Fiddler2.com  fiddler2/updatecheck. asp?isBeta=False 512 text/html; charset=UTF-8  Fiddler:3492 
o 2 502 HTTP waw honestech.com /upgrade/upgradeagent.asp 512 text/html; charset=UTF-8 upgrade:1332 
< 2 


Vemos que en la segunda línea aparece el nombre del dominio y al lado upgradeagent. 
Como no queremos dejar ninguna pista que pueda se reastreado volvemos a mirar en los 
registros a ver si averiguamos algo con respecto a esta actualización. 


Para ello vamos a HKEY LOCAL MACHINE\SOFTWARE\honestech\HTPA 





` Registry Editor 


File Edit View Favorites Help 


























cC] HEEY_LOCAL_MACHINE ^|| Name Type Data 

E a HARDWARE lab] (Default) REG 57 (value not seb) 

E C sam | jaB|AppPath REG S? C:\Program FilesihonestechHTPA 

Eg SECURITY [ab]ExE REG 5Z C:\Program Fileslhonestechl HTPATHTPA, exe 
F C] SOFTWARE lab] ProductName REG 5z honestech Product Agent 


i-i Adobe 
E ab ' i 
s] cortes | JUpgradeExE REG_52 C'Pragram FilesihonestechiHTP 4 Upgrade, exe 


e Cl Classes 

o Clients 

e Cl Gemplus 

6-5 Google 

Cl honestech 

| p honestech Video Editor 
E 


E-E Macromedia 





=- Microsoft 

o CT Mozilla 

6-3 mozilla.org 

6-23 MozillaPlugins 

m-[ CDEC 

GE Policies E 
3 ez Program Groups 

mg Red Gate 

| 3 Registeredápplications 

GE) Schlumberger 

| Je Secure 

ae ThinFrint - 


Fr TERT 


| aye 


Aqui vemos la ruta hacia el upgradeagent (HTPA.exe) y el Upgrade.exe. Eliminamos 
ambas rutas ya que si no se pueden encontrar no se podran iniciar. 


Borramos todo lo que tenemos en Fiddler, reiniciamos Olly, aplicamos el parche, 
cambiamos la bandera y si nos fijamos en Fiddler ya no hay ningün intento para conectarse a 
internet. 
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Resumimos lo que hizimos hasta ahora: 
> Hemos parcheado el periodo de prueba de 30 días. 
» Hemos parcheado cualquier intento de conectarse al servidor. 


> Eliminamos el nag que envíaba nuestro correo electrónico. 


Cosas por hacer: 
> Si vamos a la ventana de “Acerca de” sigue pondiendo “version de prueba”. 
> Prescindir del hecho de tener que hacer clic en “Probar” para acceder al programa. 
Empezaremos por solucionar el punto 2. Reiniciamos Olly y ejecutamos la aplicación hasta 


el punto de ruptura, pulsamos “animate over" hasta que veamos el nag y Olly se detiene en 
4431C1: 





- [CPU - main thread, module VideoEdi] 


[c] File View Debug Plugins Options Window Help Tools 


Animating 


i4431 3E 
bbd4d3142 
Be443147 
Be445149 
maqda43134n 
66443152 
66443153 
66443156 
66443156 
66443164 
664431655 
664431659 
6644315E 
6644315F 
66441714 
6644177 
66443178 
66443156 
66443155 
66443150 
6644315E 
664431595 
66443198 
664431%9E 
6644315 
66443166 
664431HBE 
Ba445165 
66d4431EA 
66443101 
66443106 
66443103 
664431C0B 
6644310. 
66443102 
66443105 
6644310F 
Be4451E4 
664431E5 
Be44S1EF 
664431EE 
b64431F3 
Be4431F4 
BB4431FÉ 


ui) 


ex 44) X 


m 
D 


ro 4F 
SD4Cc24 16 
ES EDrFisee 
eH 1E 


204424 14 

68 BrEBBBamB 
5H 

Cósded E4nmé 
ES H281138BH 


SB4C24 1C 
BpDbB424 24 


51 
68 BCL 


52 

ES 2021588 
e304 18 
SsO04C24 16 

BF #1 BReRee 
Cósded DSnmnés 
ES 96rF ise 


53 

GU 24 D4ais 
ES Ses5FCFF 
204424 16 
eDac24 sua028 


58 

Ces424 DCaes 
ES 56811360 
GDL 24 Daaois 
BSIBCe4 54020 
ES E4511568 
BSFS Bl 

rd De 

53 


FF15 Cangs2sn CBLE OWORO PTR DS:L«&HsUCcRT. exit? 
MOL EDI, OWORD PTR DS:Lz&HMsucRT.sprintf?1 


SB3D DAP 209 
enDac24 Hang 
E 347S5CH8 


FFO? 
209424 ACHES 
es DAG D 


2 
FFL? EDI 
809424 E4000| LEA EAS, DIJORD PTR S8: LESP*B41 


esl Ld eese HE Hee fet: 


LEA EC 


LEA 

PUSH BEGET 
PUSH EA 
MOL! 


MOU EC, 
LEA ED, 
PUSH EC 
PUSH 

PUSH ED 


HDD ESP, 15 


PUSH EE% 
LEA ECs 


LEA EAs, 
LEA EC, 
PUSH EAS 
MOL] 


LEA EC 
MOL] 


CHF EAX, 1 
PUSH EES 


LEA EC 


ASCII '".r^nzs'"" 


status = Ø 

exit 

HSUCRT. sprintf 

format = “honestech Video Editor 8.8 " 
= = BmBalz 

sprintf 


ASCII "httpz--"uwuwu.honestech.com^regFKz^reaTrialFk. 





Haremos lo mismo que antes; sustituimos la instrucción CALL por MOV EAX,1. 
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- [CPU - main thread, module VideoEdi] 


[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 





Band4d313E 
aan44314z 
66443147 
6443149 
66443140 
agd43ibz 
66443163 
06445156 
66443166 
an4431264 
664451685 
6443169 
b644316E 
HE44S16F 
66443174 
oagal 
Band4d31TE 
bE445158 
Be445 155 
be445180 
66443155 
6644195 
6644319A 
6644 19E 
664431A5 
b64431A6 
6044=1AE 
amg4431B3 
Be4431BA 
SE SECHS 


66443106 


16443105 
Be44SiCe 
and4da3ircc 
66443102 
6443108 
Be44310F 
mnodid3iE4 
664431E5 
664431E7 
e445 EE 
amnd43iF3 
Be44s1F4 
BB4431FÉ 


«ini 


Animating 





Së Kl wit nig us o 


ro 4F 
SD4Cc24 16 
ES EDrFishe 
GH 1E 


204424 14 

E BrEBBaamd 
cosdod E4aes 
ES Azs1isee 
BBd4C24 1C 
GE ed 

65 Eë D 
52 

ES r2821388 
escd 15 


eD4Cc24. 16 
BF Glo 


IF 


LEA EAX, DWORD PTR $S:rESP-14] 
PUSH BEBE; 
PUSH EAH 
MOL ENT 
i HE 
MOU ECH, 
LEA ED, E 
PUSH ECH 
PUSH UideoEdi. aaSc7ssa 
Eo o eean aue 


ADO ESP, 18 SEHR ee a 
LER ECX, DWORD PTR 55: TESP+19 


Ces424 Dane | 


ES SBrFishe 
53 


enDac24 D4a1id8 
ES Se95FCFF 
204424 18 


BOSC24. 30624) LEA 
5B F 


C68424 DCB6B 
ES 56311356 
Snaec24 Desin 
29EC24 34020 
BB 01000090 


S3F8 Bl 
r4 uv 


53 

FF15 Cangbs3sa 
GZ) DAP 209 
GU 24 Happ 
E 347S5CH8 


FFO? 
209424. ACHES 
E 647 S508 


FFL? 
208424 B4000 


eee 
PTR DS:LZ&MEUCRT.esit?1 


CALL DWORD 
MOL! E ED PTR OS: CCRMSUCRT. sorinté >] 


CALE EDI 
LEA ES, OWORO PIR $5: CESP+B4] 


ASCII '""r*nzs" 


status = H 


exit 
HSUCRT. sprintf 


= = mal2r7DC 


Bee = "honestech Wideo Editor 8.8 " 
sprintf 


ASCII "httpz--wuwuwu.haonestech.comeredaPFE-^reaTrialFk.asp" 


Este parche lo que hará es indicar al programa que el usuario hizo clic en “Probar”. 


clic en “Acerca de... ” 


honestech Video Editor 8.0 


honestech Video Editar 6.0 
Product Version : 8.0.13 


Product Kep 


Digital Video Software Developer Honest Technology 
Copyright(c] Honest Technology, All nights reserved. 


http: www. honestech.cam 


Con respecto al primer punto; reiniciamos Olly, aplicamos los dos parches y hacemos 





Realmente, el hecho de que ponga aquí “Trial version" no va afectar al funcionamiento 
del programa. No obstante veremos como cambiarlo. 


Una vez cargado el programa, pausamos Olly y pulsamos sobre “Execute till user code" 
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Be4+AS002 
B684AS5D0A 





- [CPU - main thread, module VideoEdi] 
[e] File View Debug Plugins Options 
[| 44 X 


Céé4e4 2C6248/| MOL! 
ES SBS5e088 








MI +: 















































Window Help Tools 
sp rg A] 


GGADEDDE ES 466608668 | MOL ECH, 46 
a64ASDE4 saca HOR EAH, EAS 

AB4ASDES SDBC24 10616) LEA EM rm 
A64ASDEO Cés424 10618) MOU 

aB4ASDFE F2: AB REF STOS DWORD FTR ES:LED 
AB4ASDFT 66: AB STOS WORD PTR ES:CEDII 
ae4AS0F9 AA STOS BYTE PTR ES:CEDII 
aa4nsprn 202424 10616) LEA KC) un 
a64ASEA1 62 DSSFECOB | PUSH 

a64ASERE Eë PUSH EAM 

aB4ASEBF 62 CBEESCGB | PUSH 

A64ASEAC 62 S69B5Cee | PUSH 

GB4B5E 11 ES 3B4DF?FF 

GB4n5E 16 SD4Ced 7C LEA ECX 

aB4n5E1n 62 SCchn5caa | PUSH 

GDGADEEIE Si FUSH ECX 

DGADEE 2 ES C1550066 

DBADEE SE 3304 18 ADO ESP,1&8 

AB4ASEZS 204024 ng LEA ECH 

AB4ASEZC ES 7395560668 | Call 

a64ASES1 204024 B4 LEA 

DBADEE SE, Céeded 285020 HOLU 

GDGADEEZD ES E&528D88 

AR4ASE+Z 204024 78 

BBAB5E46 CrB424 28828 

BBA4B5ES1 ES DA1S3FFFF 

AR4ASESE 8D4024 60 

AR4ASESA Cós424 28020 

AR4ASERZ ES C1526066 

BBABSEST 804024 68 

BBA4B5ESB C6B8424 28828 

BBAB5ET3 ES Po 206 

AR4ASETS 204024 ng 

BBABSETC CrB424 28828 

DBADEES ES 10546066 

AB4ASESC S2ESC24 20628 ECH, 

aaB4n5E»a EF POF EDI 

a64ASES4 £4:896D eee) MO DWORD PTR FS:r81.ECX 
aB4n5E»E 2104 28020868) ADD ESP, 228 

AB4ASEAÍ Ca 

aB4nR5EnZz EE HOP 

aB4ASEAS op HOP 

an4nsEHA 26 NOP 

xu) 


EreakPoint-> 


ASETI 


ASCII 
ASCII 


ASCII 


ii 
ta 
Kl 


"ELL" 


"dwztart new . i 
"Software-hoanestech--honestech Mideo Editor8, E 


"Trial version" 


kernel32, rL81604F 


En la dirección 4ASElA podemos ver la cadena de texto que estamos buscando “Trial 
version”. Hacemos clic con el botón derecho y seleccionamos “Follow in dump” -> “Immediate 


constant”: 


- [CPU - main thread, module VideoE di] 





[c] File View Debug Plugins Options Window Help Tools BreakPoint-> 






B64ASOFS 
B64ASOF7 
B64ASOFS 
B64ASOFA 
664ASE6 1 
Be4Q5ER6 
Be405ER7 
Be465ERC 
664ASE 11 
B64ABE1E 
HnmndpsEiH 
HnBa4H5E1F 
mnBa4H5E2B 
BR4H5E25 
mnBa4H5E2a8 
BHE4H5E2C 
BHE4H5E31 
HnBH4H5E35 
mnBapH5E3n 
664A5E42 
664A5E46 
664ABES 1 
BE4A5E56 
BE4A5E5A 
mnmndnpnbsEsz 
mnmndnpnbsEsr 
mnmndinpnsEsE 
BABES 
BABES 
BE4Q5ErC 
BE4Q5ES7 
B6dABESC 
BE4Q5E 35 
He4Q5E 34 
B6dASESE 
B6dASEAÍ 
mnmndipsEnz 
HE4Q5ERS 
HH4H5EB4 
HnH4H5ERH5 
HHAH5EBHE& 
HH4H5EHT 
BE4A5ER8 
BHE4H5ER9 
Be4ASEAR 


=) (nn 


l| 44| X 


F3:BB 
66: AB 


AA 
208424 10018 
a DOE Cou 


63 CmeBpscag 
63 SO9SESCHO 
ES zBH4DFrFF 


eD4c24 FC 
ES Braacnan 


51 

ES C 
8304 
2040 
ES 7 
2040 


+) Il 
REF STOS DWORD FTA 
STOS WORD FTR ES:LEDIJ 
STOS BYTE PTA ES:LEDIJ 
LEA EA» 
PUSH 

PUSH Es 
PUSH 

PUSH 


LEA Es 
PHISH Ilic 











Backup 
Copy 
Binary 
Assemble 
Label 
Comment i 
Breakpoint 

Hit trace 


Space 


Run trace 


Ctrl+Gray * 


New origin here 
Go Eo 
Follow in Dump 





Search For 

Find references to 
View 

Copy to executable 
Analysis 


Netach Droreee 


eje lU - 
ES: LEDIJ 


H 


kl 
| 


r Fr Fr F F 


ASCII 


ASCII 
ASCII 


ASCII 


DH Un 


"dustart, new" . 
"Software-honestech-*honestech Wideo Editors, 


"Trial version” 


owen, 7C81604F 


Selection 


Immediate constant 


Implicit stack address 


Editamos el binario y escribimos un serial cualquiera: 
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|> 


|< 


| > 


|% 


H main thread, module ee 


BE4AS5DER 
BE4AS0F5 REF STOS DWORD PTR 


STOS WORD PTR ES: CED] 





























B64A5DF7 

DRUI STOS BYTE PTA ES:LEDIJ 

BE4A50FA anoa424 1Ca818| LEA ERR 

BaapsEnt 68 DSSFECdB ASCII 
BE4ASERS 5 

HUE 68 Da6B5cad ASCII 
BE4ASERC 68 9B9ESCOA ASCII 
664ASE 11 ES 2H4DF?FF 

p6B4A5E Te 2D4c24 FC 

Bo485EIR Es BORASORO E PHSH:! ASCTI 
p64ASE1F 51 

BE4H5E 28 ES C1556006 

BE4ASELS Std 18 

BHEE4RSELS BD4C24 m2 | 

BE4A5E2C ES 79550009 | Ga IP 

BE4ASES1 GDdC 24 Bd LEA EC 







Edit data at OOSCAABC 


[1212121212121 


S 





ASCII 








UNICODE 









HES +00 [31 32 31 32 31 32 31 32 31 32 31 32 


31 







kerne 





| Keep size 


He Trial Lëtz Lon. 









Ge DEET UE A 





HEECAASC 38 SH 50 31|8.8.13. . aaa 
BESCAAAC 33 GE GE 65) 35.. .zzabalr. hone 
HASCAABC v3 Gd 69 T4 stech Wideo Edit 
HESCAACC) GE 63 gé 36) or HTPA.PFrojectó 
BASCAADC] 2E DD DD BB|.bmp....bdad.... 
BESCAAEC! D SB 73 rT5b|....tupezmzts:su 
HABCARFE 62 GE 64.65) btype=mets: rende! 
EE 25 T3 SE r-fullrwidth-zs;| 
ARECABICI 68 60 65 Tz|heiahtzszsriframer 
BESCABSC 61 ro SB 62 |aterasintecoa=s pb 
HASCAESC 69 46 43 54) itratez#s ASPECT 
HESCAB4C| Se BF EX zm RHTIUZsz:audiobi 
BHESCABSC) gé 64 65 6 ap rates xead:...bdhd 
HESCABEC! ma T" CH 6 Lon adud. tupe 
HCH CH 30 SD 76 eS -mpeg; subtype= uc 
HESCABSC) 64 SB ged &^"|dr:rrender-fullzwi 


Hacemos clic en OK y ejecutamos el programa: 


honestech Video Editor 6.0 





Product version ` 8.0.13 


Product Rey) 1212121212121 


Digital Video Software Developer Honest Technology 
Copyright(c) Honest Technology, All rights reserved. 


http: www. honestech.cam 


ER 





aa is | | L EF 


I "dustart new" 
CII "Software shor 


estech*honestech Wideo Editor*«3.E 


"TESI vers Lor 


lin 


21604F 


Cu 
m 
5 
a 


> 
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ANEXO I 


SISTEMAS DE NUMERACION 





Un sistema de numeración es el conjunto de símbolos y reglas que se utilizan para la 
representación de datos numéricos y cantidades. Se caracteriza por su base que es el numero de 
símbolos distintos que utiliza, y además es el coeficiente que determina cual es el valor de cada 
símbolo dependiendo de la posición que ocupe. 


Los sistemas de numeración actuales son sistemas posicionales en los que el valor relativo 
que representa cada símbolo o cifra de una determinada cantidad depende de su valor absoluto 
y de la posición relativa que ocupa dicha cifra con respecto a la coma decimal. 


LI. Decimal 


Se le llama decimal o en base diez porque cada posición de las cifras que forman un 
nümero, representa el mültiplo de esa cifra por una potencia de diez dependiente de su posición 
en dicho nümero: 


10* 10° 10" 10! 10? 


4 5 l 8 3 = 4 x 10000 = 40000 
5 x 1000 = 5000 
1 x 100 = 100 
8 x 10 = 80 
3x1 ENS: 
45183 
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LII. Binario 


Desde el disefio de los primeros ordenadores se emplearon circuitos biestables con la 
posibilidad de reconocer sólo dos estados: con tensión y sin tensión, es decir: 1 y O. Para 
representar cualquier número binario sólo son necesarios dos caracteres: el "1" y el "0". El valor 
de un nümero binario se obtiene igual que el de uno decimal, sólo que se emplea la base dos en 
vez de diez: 


2: DE I 2- P o: 


1 1 1 0 0 l= 1x320»5232 


1 x 16 25) = 16 


1x 8(2)= 8 
0x 4(2)= 0 
0x 2052 0 
Ix 1952 1 

57 


LIII. Hexadecimal 


La representación de un nümero binario requiere una gran cantidad de cifras. Para 
escribir 65536 (26) se necesitan 17 cifras: un uno y dieciséis ceros detrás. Por esta razón se 
buscó un sistema que fuera más o menos manejable por seres humanos y que fuera también 
fácilmente convertible a binario. La solución está en el sistema hexadecimal. El primer 
problema con que nos encontramos es el de que nos faltan cifras. En el sistema decimal tenemos 
las cifras del O al 9, y en binario, el O y el 1, pero en un sistema hexadecimal debemos utilizar 
otros caracteres para las cifras del "10" al "15" ya que en hexadecimal el 10 equivale al 16 
decimal. Estos caracteres son las letras mayüsculas de la A a la F. Veamos ahora el valor en 
decimal de un número hexadecimal: 


16° 16° 16! 16? 


7 A 2 E= 7 x4096(16°) = 28672 


A(10)x 256(16^) = 2560 


2 x 1616) = 32 
E(14)x 106) = 14 
31278 
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La conversión entre nümeros en binario y hexadecimal es relativamente sencilla. En 
efecto, podemos convertir este námero hexadecimal en binario sin necesidad de calculadora y ni 
siquiera de lápiz y papel: 


8421 8421 8421 8421 
IDA. uper qu dee 
7]AZ2E = 0111 1010 0010 1110 


(42-1) (8+2) (2) (8+4+2) 


o a la inversa: 


8421 8421 8421 8421 
APE A AO PIE 
TILL- QOLL TODA: ITOD = .F SC 
(8+4+2+1) (2+1) (8+1) (8+4) 
Cada grupo de cuatro cifras en binario equivale a una cifra hexadecimal. Así: 0111=7 
(4+2+1), 1010=A (8+2) etc. Esto es debido a que una cifra hexadecimal puede representar un 


valor decimal comprendido entre 0 (0) y 15 (F) exactamente igual que un grupo de cuatro cifras 
en binario: 0 (0000) y 15 (1111). 


LIV. Octal 


Este es un sistema que prácticamente no se utiliza pero que no está de más saber que 
existe. La idea es la misma que la del sistema hexadecimal, pero en grupos de 3 bits: valor entre 
000 (0) y 111 (7). Lógicamente, el 8 decimal equivale al 10 octal. 


I.V. Conversión 


Las conversiones más destacadas son entre números en decimal y hexadecimal. Como 
el ordenador trabaja sólo con números hexadecimales (esto no es del todo cierto, ya que el 
ordenador trabaja con números binarios, pero los desensambladores los pasan a hexadecimales), 
la conversión se hace de la siguiente manera: 


TA2E:A = C37 resto = 8 
C37:A = 138 resto = 7 
38:A = IF resto= 2 


1F:A= 3 resto= 1 
3:A= O resto= 3 


31278 
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Si se divide un número por diez, el resto de esta división será siempre menor que diez, o 
sea una cifra que podrá representarse en formato decimal. La conversión de decimal a 
hexadecimal queda como sigue: 
31278:16 = 1954 resto= 14 (E) 
1954:16 = 122  resto= 2 2 
122:16 =7 resto= 10 (A) 


7:16=0 resto= 7 7 





7A2E 


Sin embargo, la máquina lo hace de otra manera: 


31278 

0+3 =  3xA- IE 
1E+ 1 = IFxA= 136 
136+ 2 = 138xA= C30 
C30+ 7 = C37xA= 7A26 
7A26+ 8 = TA2E 


E] paso de decimal a binario y viceversa, se hace: en el primer caso, multiplicando por 
potencias de dos, y en el segundo, dividiendo sucesivamente por dos. 


I.VI. Identificación 


Hasta ahora se emplearon nümeros binarios, decimales y hexadecimales sin especificar 
a qué sistema pertenecían, lo cual, en algún caso, puede dar lugar a confusiones. Para ello se 
suelen emplear sufijos al final del nümero, que determinan a que sistema pertenece dicho 
nümero. Estos sufijos son: "d" para decimal, "h" para hexadecimal, "b" para binario (aunque no 


"n n xo n_n" 


suele ser necesario indicarlo) y "o" 6 "q" para el octal (dato puramente anecdótico). 
31278d = 7A2Eh  00101110b 


De todos modos, a veces es mas claro no poner los sufijos que ponerlos, ya que en 
muchos casos no es necesario y puede contribuir a dificultar algo que ya de por si es confuso. 


Otra cosa a tener en cuenta es que los námeros hexadecimales que empiezan con una 
letra, se suelen representar poniendo un cero delante. Esto es necesario cuando se trata de un 
texto que se va a compilar, porque es la manera de que el compilador sepa al empezar a leerlo 
que aquello es un nümero; luego, a partir de la letra del final, sabrá en que formato está 
representado. 
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ANEXO II 


SISTEMAS DE REPRESENTACION 





II.I. Números negativos 


Con un número binario de ocho dígitos se pueden representar los números del O al 255 
en decimal. A partir de aquí, si el primer dígito es un cero, significa que el número es positivo, y 
negativo en caso contrario. Esto significa que con ese número binario de ocho dígitos, en lugar 
de representar los números del 0 (00000000) al 255 (11111111), se representarán ahora los 
números del 0 (00000000) al 127 (01111111) y del -1 (11111111) al -128 (10000000). Pero 
¿por qué son esos y no otros los números negativos? Pues porque para pasar de un número 
positivo a uno negativo o viceversa, se invierten todos los dígitos que lo forman y al resultado 
se le suma uno. Aquí hay unos ejemplos: 


00000001 (1) -> 11111110+1 -> 11111111 (El) 
00111111 (63) -> 11000000+1 -> 11000001 (-63) 
01111111 (127) -> 10000000+ 1 -> 10000001 (-127) 
Este sistema tiene una ventaja y es la de que si efectuamos la suma entre un número 


positivo y uno negativo, el resultado es correcto, o sea que es igual a la resta de ambos números 
sin tener en cuenta el signo: 


01111111 (127) 01000000 (64) 10000001 (127) 
+ 11000001 (-63) + 11000001 (-63) + 11111111 (-1) 
101000000 (64) 100000001 (1) 110000000 (-128) 
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El uno de la izquierda (en cursiva) se desborda por la izquierda ya que en este ejemplo 
se trabaja con 8 bits y no hay sitio para el noveno, por lo que no se tiene en cuenta. 


Visto asi, quiza la cosa no parece tan complicada, pero las cosas siempre tienden a 
torcerse y el caso de los nümeros negativos no es una excepción. En este ejemplo, se trabajó con 
ocho bits, lo que viene a representar por ejemplo el registro AL, que más que un registro, es la 
parte inferior (8 bits=1 byte) del registro EAX (32 bits=4 bytes). Si se trata con 32 bits, o sea 
con un registro completo, los números positivos estarán comprendidos entre 00000001 y 
7FFFFFFF y los negativos entre 80000000h y FFFFFFFF. Y es que todo depende del entorno, 
por lo que un nümero puede ser positivo o negativo segün la referencia en el que se sitáa. Por 
ejemplo, si AX (16 bits=2 bytes) es igual a FFFF, significa que es igual a -1, pero si EAX es 
igual a 0000FFFF, esto implica que es igual a 65535. De la misma manera, si se suma FF a AL, 
se está sumando -1 (o dicho de otra manera, restándole uno), pero si se suma esta cantidad a 
EAX, se está sumando 255. 


ILII. Coma (o punto) Flotante 


De la misma manera que no se puede poner un guion para representar un nümero 
negativo en binario o hexadecimal, tampoco se puede poner una coma para separar la parte 
entera de la decimal. Para solucionar esto se emplea la representación en coma flotante, mucho 
más versátil que la representación en coma fija. 


Hasta la llegada del procesador 80486, las operaciones de coma flotante las efectuaba el 
coprocesador matemático. Para ello contaba con unos registros y unas instrucciones propias. A 
partir de la aparición del 80486, estas funciones han quedado incorporadas a la CPU. 


De momento interesa saber que se trata de 8 registros de 80 bits, numerados del ST o 
ST(0) al ST(7) y cuya composición se detalla a continuación. 


Existen tres formatos de numeros reales en coma flotante: de 32, 64 y 80 bits. Los dos 
primeros son formatos standard IEEE (Institute of Electrical and Electronics Engineers) para 
simple y doble precisión, y el tercero es el formato de los registros de coma flotante. 


La representación de estos numeros está formada por tres elementos: signo, exponente y 


mantisa. El signo está indicado por un bit. El exponente por 8, 11 y 16 bits segün el formato y la 
mantisa por 23, 52 y 63 bits; segün el gráfico siguiente: 
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A continuación se verán unos ejemplos de cómo pasar nümeros reales a formato en 
coma flotante de 32 bits (El procedimiento para los formatos más largos es similar). 


Ejemplo n? 1: 105,28 


En primer lugar, hay que pasar los numeros de la parte entera y decimal a binario. Ya se explicó 
la forma de pasar a binario la parte entera: 


105:2 2 52 
52:2 = 26 
26:2 = 13 
13:226 

6:2 23 
a= 
1:2=0 


resto= | l 
resto= 0 0 
resto= 0 0 
resto= | l 
resto=0 0 
resto= 1 1 


resto= ] 1 


1101001 


Ya tenemos 7 números, ahora sólo faltan 17 para completar los 24 números que se 
necesitan para la mantisa (Son necesarios 24 porque se elimina el primer número). 


La parte decimal se pasa a binario multiplicando la parte decimal por 2 y con la parte 
entera del resultado se va formando el número binario: 
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0,28x2 = 0,56 entero=0 0 
0,56x2 = 1,12 entero=1 1 
0,12x2 =0,24 entero=0 0 


0,24x2 = 0,48 entero=0 0 


0,48x2 =0,96 entero=0 0 
0,96x2 = 1,92 entero=1 1 
0,92x2 =1,84 entero=1 1 
0,84x2 = 1,68 entero=1 1 
0,68x2 = 1,36 entero=1 1 
0,36x2 = 0,72 entero=0 0 
0,72x2 = 1,44 entero=1 US 
y así hasta 17 ... 01000111101011100 


Componemos el binario con decimales: 
1101001 , 01000111101011100 


Ahora corremos la coma hacia la izquierda hasta que no quede parte entera, en este 
Caso, siete lugares: 


0,110100101000111101011100 
Eliminamos la coma y el primer uno del numero y ya tenemos los 23 bits de la mantisa: 
10100101000111101011100 


Ahora vamos a por el exponente. Hemos corrido siete lugares a la izquierda, esta cifra 
la sumaremos a 126 (numero constante) y pasaremos a binario el resultado: 


74-126 = 133d = 10000101b 


Ya tenemos también el exponente. El signo es positivo por lo tanto el bit que 
correspondiente al signo estara puesto a cero. Ya tenemos el numero completo, es el: 


O 10000101 10100101000111101011100 


Ahora vamos a pasar ese número a hexadecimal y comprobaremos cual es el valor 
almacenado en el registro (Con un desensamblador). 


0100 0010 1101 0010 1000 1111 0101 1100 


4 2 DP 2 e FP 3 © 
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C7035C8FD242 mov dword ptr [ebx], 42D28F5C 
D903 fld dword ptr [ebx] 


Si ejecutamos este código, y ponemos un bpx a la dirección de la instrucción fld, 
veremos cómo después de ejecutarse dicha instrucción, aparece en la ventana de los registros de 
coma flotante el valor 105,279998779296875 en el registro ST(O). El error viene dado por el 
nivel de precisión que hemos empleado. Si hubiéramos trabajado con 64 u 80 bits, el resultado 
hubiera sido más ajustado. 


Ejemplo n? 2: Pasar un numero en coma flotante a decimal. 
3B8B4395=0 01110111 00010110100001110010101 
Vemos por el bit de signo que se trata de un numero positivo. 
El exponente es 01110111=119. Le restamos 126 y nos da -7. 


Afiadimos un uno a la izquierda de la mantisa y le ponemos una coma delante. A 
continuación pasamos esta mantisa a decimal (Lo más sencillo es pasarla con lápiz y papel a 
hexadecimal y luego con la calculadora científica de Window$, a decimal) y nos da como 
resultado: 


O, 1000 1011 0100 0011 1001 0101 = 8B4395h = 9126805d 


Ahora movemos la coma a la derecha, los lugares necesarios para que nos quede un 
numero entero (en este caso, 24) y restamos el número de desplazamientos al exponente que 
teníamos (-7 -24 = -31). Así que el numero resultante es: 


9126805 x 2^! = 0,0042499997653067111968994140625 


Resultado obtenido mediante la calculadora científica de Window$. 


III Formato BCD 


Se trata simplemente de una manera de almacenar nümeros decimales. Cada digito 
decimal se pasa a binario y se guarda en un nibble (cuatro bits). Estos nimeros binarios estaran 
comprendidos entre el 0000 y el 1001 (9), no siendo válido un numero superior. A partir de 
aqui, hay dos maneras de guardar estos námeros: BCD empaquetado y BCD desempaquetado. 
En el formato empaquetado se guardan dos dígitos en un byte, en el desempaquetado se guarda 
un dígito en un byte, del cual quedan a cero los cuatro bits de mayor valor. Veremos un par de 
ejemplos: 


Decimal BCD empaq. BCD desemp. 
76 0111 0110 00000111 00000110 
91 1001 0001 00001001 00000001 
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Con números representados en este formato, se pueden realizar operaciones aritméticas, 
pero se efectúan en dos tiempos. En el primero se lleva a cabo la operación aritmética, y en el 
segundo, se ajusta el resultado. 


ILIV. Caracteres ASCII - ANSI 


Aunque no es un tema directamente relacionado con el lenguaje ensamblador, es bueno 
conocer algo sobre cómo se las arregla el ordenador para escribir caracteres en la pantalla, 
mandarlos a la impresora, etc. Lo hace asignando un código a cada carácter que se quiera 
representar. Así nació en su día el juego de caracteres ASCII (American Standard Code for 
Information Interchange), que algunas veces se identifica como OEM (Original Equipment 
Manufacturer), compuesto por 256 caracteres, que era el utilizado por el MS-DOS. Window$ en 
cambio, utilizó el ANSI (American National Standards Institute) que consta de 224 caracteres, y 
posteriormente, en las versiones NT el Unicode, que al tener dos bytes de longitud en vez de 
uno, como los sistemas anteriores, es capaz de representar 65536 caracteres. 


Los 32 primeros caracteres (del O al 31) del formato ASCII son códigos de control, 
como por ejemplo el 13 que equivale a CR (Enter), o el 8 que equivale a BS (Retroceso). Los 
caracteres del 32 al 127 son idénticos en ASCH y ANSI (El juego de caracteres ANSI empieza 
en el 32). Finalmente los caracteres del 128 al 255 (llamados también extendidos) son distintos 
para ambos sistemas y varían segün los sistemas operativos o configuraciones nacionales. 
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Los 96 caracteres comunes en ambos sistemas son los siguientes: 


Dec. Hex. Caract. Dec. Hex. Caract. Dec. Hex. Caract. 


32 20 esp 64 40 @ 96 60 

33 21 | 65 41 A 97 61 a 
34 22 : 66 42 B 98 62 b 
35 23 # 67 43 C 99 63 E 
36 24 $ 68 44 D 100 64 d 
37 25 % 69 45 E 101 65 e 
38 26 & 70 46 F 102 66 f 

39 27 71 47 G 103 67 g 
40 28 ( 72 48 H 104 68 h 
41 29 ) 73 49 | 105 69 i 

42 2A E 74 4A J 106 6A j 

43 2B + 75 4B K 107 6B k 
44 2C l 76 4C L 108 6C | 

45 2D - 77 4D M 109 6D m 
46 2E 78 4E N 110 6E n 
47 2F / 79 4F O 111 6F O 
48 30 0 80 50 P 112 70 p 
49 31 1 81 51 Q 113 71 q 
50 32 2 82 52 H 114 72 r 
51 33 3 83 53 S 115 73 S 
52 34 4 84 54 T 116 74 t 

53 35 5 85 55 U 117 75 u 
54 36 6 86 56 V 118 76 V 
55 37 7 87 57 W 119 77 w 
56 38 8 88 58 X 120 78 X 
57 39 9 89 59 Y 121 79 y 
58 3A ; 90 5A Z 122 7A Z 
59 3B : 91 5B [ 123 7B { 

60 3C < 92 5C \ 124 7C | 

61 3D = 93 5D ] 125 7D } 

62 3E > 94 5E A 126 7E 
63 3F 2 95 5F 127 7F 


Es bastante frecuente encontrarse, al seguirle la pista a un serial number, con 
instrucciones en las que se le resta 30h al código ASCII de un número para obtener su valor 
numérico real, o bien se le suma 30h a un número para obtener el carácter ASCII que lo 
representa, o con otras que suman o restan 20h al código de una letra para pasarla de mayúscula 
a minúscula o viceversa. 
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ANEXO III 


OPERACIONES LÓGICAS 





Una de las funciones de la Unidad Aritmético Lógica (ALU), situada en el nucleo del 
procesador es la de realizar las operaciones lógicas con los datos contenidos en una instrucción 
del programa. Pero, ¿qué es una operación lógica? 

prog ¿q p 8 


Una operación lógica asigna un valor (TRUE o FALSE) a la combinación de 
condiciones (TRUE o FALSE) de uno o más factores (variables). Los factores o las variables 
que intervienen en una operación lógica solo pueden ser TRUE o FALSE. Y el resultado de una 
operación lógica puede ser, tan solo, TRUE o FALSE. 


A continuación se verán cuatro operaciones lógicas que se ejecutan bit a bit según las 
tablas que se muestran a continuación. 


HII AND 


El resultado es 1 si los dos operandos son 1, y 0 en cualquier otro caso. 


l and 1=1 
l and 0 2 0 
(and 120 
0 and 0=0 


Ejemplo: 1011 and 0110 = 0010 
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ULI OR 


El resultado es 1 si uno o los dos operandos es 1, y O en cualquier otro caso. 


lorl=1 
lorO=1 
Dorl=1 
0 or 0=0 


Ejemplo: 1011 or 0110 = 1111 


HIHI. XOR 


El resultado es 1 si uno y sólo uno de los dos operandos es 1, y O en cualquier 


otro caso 
1 xor120 
1 xorO= 1 
QOxorl=1 
0 xor 02 0 


Ejemplo: 1011 xor 0110 2 1101 


HIV. NOT 
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Simplemente invierte el valor del único operando de esta función 
not 1 2 0 


not Uz) 


Ejemplo: not 0110 = 1001 


Estos ejemplos se hicieron empleando nümeros binarios. En el caso de nümeros 
hexadecimales lo más corriente es pasarlos antes a binario. O bien utilizar la calculadora de 
Window$ en formato científico. 
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